Ocho días después de que Copy Fail conmocionara al mundo de los servidores Linux, ha arriveado otra vulnerabilidad crítica que también otorga acceso root a cualquier persona que pueda ejecutar código en el servidor. Se llama “Dirty Frag”, została公开披露于 2026 年 5 月 7 日, y ya existe un exploit funcional. Si el servidor no ha sido parcheado y reiniciado desde el 8 de mayo, está vulnerable en este momento.
Dirty Frag es el nombre informal de un exploit encadenado que combina dos vulnerabilidades del kernel de Linux: CVE-2026-43284 y CVE-2026-43500. La primera ya está parcheada; la segunda todavía se está implementando en las distribuciones en el momento de escribir esto.
La causa raíz de CVE-2026-43284 reside en cómo el kernel de Linux maneja la memoria de paquetes de red en la ruta IPsec/ESP. Cuando MSG_SPLICE_PAGES adjunta páginas de un pipe directamente a un buffer de red (skb), las rutas de datagramas IPv4/IPv6 no marcaron esas páginas como compartidas. Esto hizo que un paquete ESP-in-UDP creado a partir de páginas compartidas apareciera ante el kernel como un buffer propiedad privada ordinario, por lo que el descifrado ESP ocurriría in-place directamente sobre memoria que el skb no posee. Un atacante que sepa cómo manipular este comportamiento puede lograr una escritura controlada en el page cache del kernel y finalmente escalar a root.
A diferencia de la vulnerabilidad anterior DirtyPipe, que dependía de una estrecha condición de carrera en el manejo de flags del buffer de pipe, Dirty Frag es un defecto lógico determinista. El investigador Hyunwoo Kim reporta tasas de éxito muy altas y riesgo mínimo de kernel panic, sin ventana de tiempo que perder. Esto lo hace inusualmente confiable para tratarse de un exploit.
Dirty Frag sigue el mismo patrón fundamental que Copy Fail — una primitiva de escritura en el page cache convertida en escalada root— pero a través de una ruta de código completamente diferente. Ambas vulnerabilidades convierten optimizaciones de procesamiento in-place de larga duración en primitivas root deterministas: Copy Fail a través de criptografía de userspace, Dirty Frag a través de recepción IPsec.
Todo servidor que ejecute un kernel Linux mainstream construido desde aproximadamente 2017 en adelante está afectado. La lista completa de distribuciones afectadas incluye Red Hat Enterprise Linux, AlmaLinux, Debian, Ubuntu, Fedora, Arch Linux, CentOS, CloudLinux y Amazon Linux.
Los kernels parcheados ya están disponibles en repositorios de producción desde el 8 de mayo de 2026. Este es el único parche真正 real. Para AlmaLinux, CentOS Stream y RHEL: sudo dnf clean metadata && sudo dnf upgrade && sudo reboot. Para Debian/Ubuntu: sudo apt update && sudo apt upgrade && sudo reboot.
Si no es posible reiniciar inmediatamente, se pueden bloquear los módulos vulnerables de carga: printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false' > /etc/modprobe.d/dirtyfrag.conf y luego ejecutar rmmod y limpiar el page cache.
Dos vulnerabilidades universales de escalada de privilegios del kernel de Linux en ocho días no es normal. La divulgación de Dirty Frag también fue mal: un tercero no relacionado filtró los detalles del exploit antes de que las distribuciones terminaran de empaquetar los parches, forzando una divulgación pública prematura mientras CVE-2026-43500 todavía no estaba parcheado.
La lección práctica es que el tiempo entre una vulnerabilidad conocida por los atacantes y siendo explotada en la naturaleza ahora se mide en horas, no en días. Las actualizaciones del kernel deben tratarse con la misma urgencia que los parches de seguridad de aplicaciones — aplicarse tan pronto como estén disponibles, no durante la próxima ventana de mantenimiento programada.
Para cualquier servidor que ejecute cargas de trabajo de hosting web: parchee hoy, reinicie, verifique. Luego configure alertas para que la próxima vez que esto suceda, se enteren dentro de la hora.