Investigadores de Nebula Security han dado a conocer GhostLock (CVE-2026-43499), una vulnerabilidad del kernel de Linux que lleva 15 años sin ser detectada y permite que cualquier usuario con acceso a una máquina obtenga control total del sistema sin necesidad de parches de seguridad.
El código vulnerable ha estado presente de manera predeterminada en prácticamente todas las distribuciones principales de Linux desde 2011. Esta vulnerabilidad no requiere permisos especiales, configuraciones inusuales ni acceso a través de la red, ya que puede ser activada mediante llamadas a subprocesos desde cualquier programa local.
Nebula desarrolló un exploit funcional que logra acceso de administrador con una fiabilidad del 97% en sus pruebas y es capaz de escapar de contenedores. Google otorgó 92.337 dólares al equipo a través de su programa de recompensas por errores kernelCTF.
Aunque no hay reportes de explotación activa en la actualidad, Nebula ha publicado el código del exploit, lo que significa que cualquiera puede utilizarlo. La prioridad inmediata es aplicar los parches de seguridad disponibles.
La vulnerabilidad opera a través del sistema del kernel que evita que una tarea urgente quede bloqueada por una tarea trivial. En un caso excepcional, cuando una operación de bloqueo se estanca y debe revertirse, la limpieza se ejecuta en el momento incorrecto y borra el registro de la tarea equivocada.
Este error deja al kernel con una referencia que apunta a un fragmento de memoria ya descartado y reutilizado. Confiar en este puntero obsoleto genera un fallo de uso de memoria liberada. El equipo de Nebula encadenó varios pasos para convertir este pequeño error en control total del sistema, logrando que el kernel ejecutara su código con permisos de root en aproximadamente cinco segundos en sus pruebas.
La vulnerabilidad ha existido desde 2011 y fue corregida en abril. Las distribuciones están implementando el parche correspondiente. Afecta a casi todas las versiones de Linux y tiene una puntuación de 7.8 sobre 10, clasificada como alta pero no crítica, debido a que requiere que el atacante esté previamente conectado al sistema. Nebula la identificó utilizando VEGA, su herramienta de búsqueda de errores basada en inteligencia artificial.
Se recomienda instalar la versión actual del kernel de la distribución, no solo la primera versión parcheada disponible. El parche original introdujo un error de bloqueo independiente (CVE-2026-53166), cuya solución aún se estaba implementando a principios de julio.
No existe una solución alternativa definitiva, ya que las operaciones que desencadenan la vulnerabilidad son rutinarias para cualquier proceso local.
La disponibilidad de parches es irregular. Ubuntu, por ejemplo, había parcheado su última versión y algunos kernels en la nube, pero a principios de julio aún mostraba las versiones 24.04, 22.04 y 20.04 LTS como vulnerables o en proceso de parcheo. Se recomienda consultar el aviso de seguridad de cada distribución y verificar la versión específica del paquete corregido.
Dos opciones de compilación, RANDOMIZE_KSTACK_OFFSET y STATIC_USERMODE_HELPER, dificultan este exploit, pero son medidas de mitigación y no correcciones completas. Se sugiere aplicar el parche prioritariamente en máquinas compartidas, servidores multiusuario, entornos en la nube, contenedores y ejecutores de integración continua, donde es más probable que un atacante encuentre las condiciones necesarias.
GhostLock no es el único fallo de kernel a root detectado este año. Se suma a una serie de fallos de escalamiento de privilegios en Linux durante 2026, varios de los cuales fueron identificados por herramientas automatizadas.
VEGA detectó GhostLock. Días antes, los investigadores revelaron Bad Epoll (CVE-2026-46242), una vulnerabilidad similar que también permite que un usuario sin privilegios obtenga acceso root y que funciona incluso en Android.
Bad Epoll se encuentra en el mismo segmento de código donde se asignó una vulnerabilidad similar a un modelo de Anthropic. Lo que comparten estas vulnerabilidades es una maquinaria del kernel antigua y ampliamente utilizada que pocas personas habían revisado en años, hasta que las herramientas automatizadas comenzaron a analizarla. La herencia de prioridad de Futex data de 2011. Esta clase de vulnerabilidades no es teórica: otro fallo de 2026, Copy Fail (CVE-2026-31431), ya ha sido detectado en ataques reales según CISA.
GhostLock es también la segunda parte de una cadena que Nebula denomina IonStack. La primera parte, CVE-2026-10702, es una vulnerabilidad de Firefox que permite ejecutar código dentro del navegador y escapar de su entorno aislado. GhostLock completa el proceso hasta obtener acceso root.
Nebula ha demostrado la cadena completa, desde un simple clic en un enlace malicioso hasta el control total del sistema, contra Firefox en Android. Por este motivo, una vulnerabilidad del kernel que solo afecta el entorno local sigue siendo relevante: aunque requiere un punto de acceso inicial, cuando se combina con una vulnerabilidad del navegador, se convierte en una intrusión remota. Nebula ha anunciado la publicación próxima de un informe completo sobre la vulnerabilidad en Android.
Con Información de blog.segu-info.com.ar
