Bad Epoll: vulnerabilidad crítica en Linux permite obtener acceso root

Iniciado por Dragora, Julio 04, 2026, 01:04:32 PM

Tema anterior - Siguiente tema

0 Miembros y 8 Visitantes están viendo este tema.


La seguridad del kernel de Linux vuelve a estar bajo el foco tras el descubrimiento de Bad Epoll (CVE-2026-46242), una vulnerabilidad crítica que permite a un usuario sin privilegios escalar permisos hasta obtener acceso root. El fallo afecta a sistemas Linux modernos, incluyendo servidores, equipos de escritorio y determinadas implementaciones de Android, y ya dispone de una corrección oficial que los administradores deberían aplicar cuanto antes.

El hallazgo resulta especialmente llamativo porque se localiza en la misma porción de código donde recientemente Mythos, el avanzado modelo de inteligencia artificial desarrollado por Anthropic, identificó otra vulnerabilidad distinta. Sin embargo, en esta ocasión fue el investigador de seguridad Jaeyoung Chung quien descubrió el problema, desarrolló un exploit funcional y demostró que era posible comprometer un sistema con una tasa de éxito cercana al 99 %.

El caso de Bad Epoll no solo evidencia que las condiciones de carrera (race conditions) siguen siendo uno de los retos más complejos en el desarrollo del kernel de Linux, sino que también pone de manifiesto que, pese a los avances de la inteligencia artificial en la investigación de vulnerabilidades, la experiencia humana continúa siendo indispensable para descubrir fallos altamente sofisticados.

¿Qué es Bad Epoll (CVE-2026-46242)?

Bad Epoll es una vulnerabilidad clasificada como Use-After-Free (UAF) dentro del kernel de Linux. El problema reside en el subsistema epoll, una de las funciones más utilizadas del sistema operativo para gestionar múltiples descriptores de archivos y conexiones de red de forma simultánea.

Epoll constituye una pieza fundamental del ecosistema Linux. Es utilizado diariamente por:

  • Servidores web.
  • Servicios de red.
  • Plataformas cloud.
  • Navegadores como Google Chrome.
  • Aplicaciones empresariales.
  • Infraestructuras de alto rendimiento.

Precisamente por tratarse de un componente esencial, no existe la posibilidad de deshabilitar epoll como medida de mitigación, lo que convierte la instalación del parche en la única solución efectiva.

Cómo funciona el fallo de seguridad

La vulnerabilidad se produce cuando dos procesos internos del kernel intentan liberar simultáneamente un mismo objeto de memoria.

Mientras uno de ellos libera el recurso, el segundo continúa escribiendo sobre una región de memoria que ya no es válida. Esta situación genera una condición de Use-After-Free, permitiendo que un atacante manipule la memoria del kernel y consiga ejecutar operaciones con privilegios elevados.

En teoría, explotar este tipo de errores resulta extremadamente complicado debido a que la ventana temporal donde ocurre la colisión apenas dura seis instrucciones de máquina.

Sin embargo, Jaeyoung Chung consiguió desarrollar un exploit capaz de ampliar artificialmente esa pequeña ventana temporal y repetir el proceso miles de veces sin provocar bloqueos del sistema.

Como resultado, el ataque logra elevar privilegios hasta root con una efectividad cercana al 99 % en los sistemas donde fue probado.

¿Por qué Bad Epoll representa una amenaza importante?

Lo que diferencia a Bad Epoll de otras vulnerabilidades del kernel es su versatilidad.

Según el investigador, el fallo puede explotarse incluso desde el sandbox del renderizador de Google Chrome, un entorno diseñado específicamente para impedir que un navegador comprometido pueda acceder al sistema operativo.

Esta capacidad rompe una de las barreras de seguridad más importantes implementadas por los navegadores modernos.

Además, el fallo también podría aprovecharse en determinados dispositivos Android que ejecuten versiones vulnerables del kernel Linux, algo poco habitual en este tipo de errores de escalada de privilegios.

Aunque actualmente todavía no existe una versión pública completamente funcional del exploit para Android, Chung confirmó que el desarrollo continúa en marcha.

Un zero-day presentado al programa kernelCTF de Google

Tras descubrir la vulnerabilidad, Jaeyoung Chung la presentó como un zero-day al programa kernelCTF de Google, una iniciativa destinada a incentivar la investigación sobre vulnerabilidades críticas en el kernel de Linux.

El investigador publicó posteriormente un informe técnico detallado junto con una prueba de concepto (PoC) funcional.

Hasta el momento, no existen evidencias de que Bad Epoll haya sido utilizado en ataques reales.

De hecho, la vulnerabilidad todavía no figura en el catálogo Known Exploited Vulnerabilities (KEV) de CISA, lo que indica que las agencias de seguridad no han observado campañas activas aprovechando este fallo.

Actualmente, el único exploit conocido corresponde a la demostración técnica desarrollada para kernelCTF.

El origen del problema: un cambio introducido en 2023

El análisis realizado por Chung reveló que Bad Epoll y otra vulnerabilidad previa descubierta por Mythos comparten un mismo origen.

Ambos errores nacieron tras un cambio introducido en el código de epoll durante 2023.

La primera vulnerabilidad detectada fue registrada como CVE-2026-43074, cuya corrección llegó a principios de 2026.

Anthropic confirmó anteriormente que Mythos había descubierto varios fallos relacionados con escaladas de privilegios dentro del kernel de Linux, aunque nunca vinculó públicamente ese trabajo con Bad Epoll.

Este caso demuestra una realidad interesante: aunque los modelos de inteligencia artificial actuales son capaces de detectar vulnerabilidades extremadamente complejas, todavía pueden pasar por alto errores relacionados con condiciones de carrera muy específicas.

¿Por qué la inteligencia artificial no encontró Bad Epoll?

Jaeyoung Chung ofrece dos posibles explicaciones para entender por qué un modelo tan avanzado como Mythos no detectó este fallo.

La primera tiene que ver con la propia naturaleza de las race conditions.

La secuencia exacta de eventos ocurre dentro de una ventana temporal extremadamente reducida, lo que dificulta incluso para un sistema de inteligencia artificial reconstruir correctamente el flujo de ejecución únicamente analizando el código fuente.

La segunda razón está relacionada con la escasa evidencia observable durante la ejecución.

Una vez corregida la vulnerabilidad anterior, Bad Epoll apenas generaba señales detectables por KASAN (Kernel Address Sanitizer), una de las herramientas más utilizadas para localizar errores de memoria dentro del kernel.

En otras palabras, el fallo permanecía prácticamente invisible durante las pruebas convencionales.

Sistemas afectados y cómo protegerse

Bad Epoll afecta principalmente a kernels Linux basados en la versión 6.4 o posteriores, siempre que no hayan incorporado ya la corrección correspondiente.

Los sistemas más antiguos, especialmente aquellos basados en la rama Linux 6.1 LTS, no presentan este problema.

Esto incluye algunos dispositivos Android como el Google Pixel 8, que continúan utilizando dicha rama estable.

La única medida recomendada consiste en instalar cuanto antes la corrección oficial publicada mediante el commit upstream a6dc643c6931 o esperar a que cada distribución Linux publique su correspondiente backport de seguridad.

Dado que epoll forma parte del funcionamiento básico del sistema operativo, no existe ninguna mitigación temporal ni configuración alternativa que elimine el riesgo.

Bad Epoll se suma a un año especialmente complicado para el kernel de Linux

El descubrimiento de Bad Epoll llega en un momento especialmente intenso para la seguridad del kernel de Linux.

La vulnerabilidad pasa a formar parte de una larga lista de errores utilizados históricamente para obtener privilegios de root, junto a fallos conocidos como Bad Binder, Bad IO_uring y Bad Spin, especialmente relevantes en Android.

Durante los últimos meses también se han descubierto otras vulnerabilidades críticas como:

  • Copy Fail (CVE-2026-31431), actualmente incluida en el catálogo de vulnerabilidades explotadas de CISA.
  • Dirty Frag.
  • Fragnesia.
  • DirtyClone.
  • pedit COW.

A diferencia de Bad Epoll, muchas de estas vulnerabilidades aprovechan errores deterministas relacionados con la escritura en la caché de páginas, similares al famoso Dirty Pipe descubierto en 2022.

Estas técnicas suelen resultar más fiables porque no dependen de sincronizar procesos en ventanas temporales extremadamente pequeñas.

Bad Epoll, en cambio, recuerda al histórico Dirty COW (2016), una de las condiciones de carrera más conocidas en la historia del kernel Linux.

La IA avanza, pero la experiencia humana sigue siendo clave

En paralelo, la investigación automatizada mediante inteligencia artificial continúa ganando protagonismo. Firmas especializadas como Bynario ya han utilizado modelos de IA para detectar vulnerabilidades como CVE-2026-31694, un fallo en el sistema de archivos FUSE del kernel Linux que podría permitir corrupción de memoria y escalada de privilegios en determinados entornos de servidores y contenedores.

Asimismo, Mythos también logró identificar una vulnerabilidad de ejecución remota de código de 17 años de antigüedad en el servidor NFS de FreeBSD (CVE-2026-4747), demostrando el enorme potencial de estas tecnologías para reforzar la investigación en ciberseguridad.

Sin embargo, Bad Epoll deja una enseñanza clara: las condiciones de carrera continúan siendo uno de los tipos de vulnerabilidades más difíciles de detectar, corregir y explotar. Incluso la inteligencia artificial más avanzada puede pasar por alto defectos extremadamente sutiles que requieren intuición, experiencia y un profundo conocimiento del funcionamiento interno del kernel. Por ahora, la combinación entre investigadores humanos y herramientas basadas en IA sigue siendo la estrategia más efectiva para descubrir y corregir las amenazas que ponen en riesgo la seguridad de Linux y Android.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login