- Qualys ha revelado CVE‑2026‑46333, una falla de Linux que existe desde 2016 y que permite a usuarios sin privilegios secuestrar procesos privilegiados para obtener brevemente acceso de administrador.
- El exploit fue confirmado en instalaciones predeterminadas de Debian, Ubuntu y Fedora.
- Los administradores deben aplicar las actualizaciones inmediatamente
El investigador de seguridad Qualis ha descubierto una falla importante en el sistema operativo (SO) Linux que permite a cualquier usuario normal o actor malicioso obtener acceso completo de administrador a un punto final vulnerable.
Este error persiste en los sistemas Linux desde 2016 y afecta la instalación predeterminada de varias distribuciones importantes, incluidas Red Hat, SUSE, Debian, Fedora, AlmaLinux, CloudLinux y otras.
Qualis dijo que los atacantes podrían usarlo para ver archivos confidenciales o ejecutar comandos con el más alto nivel de control del sistema.
Explotación del trabajo
La vulnerabilidad ahora se rastrea como CVE-2026-46333 y tiene una puntuación de gravedad de 5,5/10 (media). Funciona explotando una ventana estrecha en la que se puede acceder a un proceso privilegiado eliminando sus credenciales.
Cuando un programa está en proceso de cerrarse con privilegios de nivel de administrador, se supone que Linux también excluye a otros programas para que no puedan echar un vistazo. CVE-2026-46333 significa que el corte se produce una fracción de segundo demasiado tarde, lo que permite a los usuarios comunes y sin privilegios explotar esa pequeña brecha.
Durante esa ventana, el atacante puede usar una función para obtener una copia de las conexiones y archivos abiertos del programa privilegiado moribundo antes de que desaparezcan.
Qualis ha desarrollado cuatro exploits funcionales para demostrar vulnerabilidades prácticas, confirmando que funcionan en instalaciones predeterminadas de Debian 13, Ubuntu 24.04/26.04, Fedora 43 y Fedora 44.
Los investigadores informaron la falla de forma privada al equipo de seguridad del kernel de Linux el 11 de mayo de 2026, y el equipo regresó con un parche tres días después, el 14 de mayo. Poco después, apareció un exploit independiente derivado de confirmaciones públicas, rompiendo efectivamente la prohibición y solicitando una divulgación informativa completa.
Se recomienda a los administradores que apliquen inmediatamente las actualizaciones del kernel desde sus distribuciones. Aquellos que no puedan parchear inmediatamente deberían actualizar kernel.yama.ptrace_scope a 2 para bloquear exploits públicos.
Se informa a los hosts que tenían usuarios locales que no eran de confianza durante el período de exposición que las claves de host SSH y las credenciales almacenadas en caché local se han visto comprometidas y deben rotarse lo antes posible.
a través de Noticias de piratas informáticos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
