Se ha descubierto una vulnerabilidad de escalada de privilegios local en el kernel de Linux, denominada DirtyClone (CVE-2026-43503), que permite a usuarios no privilegiados obtener acceso de superusuario completo mediante la manipulación de paquetes de red clonados a través del subsistema XFRM/IPsec. La explotación aprovecha la pérdida del flag de seguridad SKBFL_SHARED_FRAG durante operaciones de clonación de buffers de socket, sin dejar rastro en registros del kernel o sistemas de auditoría.
CVE y severidad
CVE-2026-43503 (CVSS: 8.8, Severidad: Alta).
Afecta al subsistema de manejo de paquetes del kernel de Linux (XFRM/IPsec), específicamente en la función __pskb_copy_fclone(). La vulnerabilidad fue reportada inicialmente por JFrog Security Research el 19 de mayo de 2026, tras analizar parches relacionados con la vulnerabilidad DirtyFrag.
Productos afectados
| Distribución | Versiones afectadas | Notas |
|---|---|---|
| Debian | Todas (por defecto con namespaces de usuario no privilegiados habilitados) | Vulnerable por defecto |
| Fedora | Todas (por defecto con namespaces de usuario no privilegiados habilitados) | Vulnerable por defecto |
| Ubuntu | 24.04+ (parcialmente mitigado con restricciones de AppArmor) | Listado como afectado; mitigación parcial en versiones recientes |
| Entornos en la nube y contenedores | Kubernetes, entornos multiinquilino, workloads contenerizados con namespaces de usuario habilitados | Riesgo crítico |
| Kernel de Linux | Versiones anteriores a v7.1-rc5 (24 de mayo de 2026) | Falta parche completo de la cadena DirtyFrag (incluye CVE-2026-46300 y CVE-2026-43503) |
Solución
Actualizar el kernel de Linux a la versión v7.1-rc5 o aplicar el parche backported de CVE-2026-43503 proporcionado por el distribuidor correspondiente.
Recomendaciones
Priorizar la aplicación de parches en entornos críticos, especialmente en sistemas con namespaces de usuario habilitados. En Debian y Ubuntu, configurar kernel.unprivileged_userns_clone=0 para restringir la creación de namespaces no privilegiados. Para entornos que no utilicen IPsec, deshabilitar los módulos del kernel esp4, esp6 y rxrpc mediante blacklisting. Tras aplicar mitigaciones, ejecutar echo 3 > /proc/sys/vm/drop_caches para limpiar la caché de páginas potencialmente comprometidas.
Referencias