Qualys, Inc., empresa de soluciones de TI, seguridad y cumplimiento basadas en la nube, ha desvelado una vulnerabilidad crítica en el kernel de Linux que permite a usuarios locales sin privilegios acceder a información sensible y ejecutar comandos arbitrarios con privilegios de root en configuraciones predeterminadas de varias distribuciones Linux ampliamente utilizadas.

Identificado como CVE-2026-46333, el fallo reside en la función __ptrace_may_access() y ha estado presente en la rama principal de Linux desde noviembre de 2016 (versión v4.10-rc1). De hecho, a fecha de hoy ya existen parches y actualizaciones disponibles por parte de los principales proveedores, si bien también circulan públicamente exploits totalmente funcionales. La vulnerabilidad convierte cualquier shell local en una vía potencial hacia privilegios de root o hacia la exposición de información altamente sensible.

Impacto en sistemas reales

Para mostrar el alcance de la vulnerabilidad, los investigadores de Qualys han experimentado con cuatro exploits funcionales dirigidos a componentes ampliamente desplegados:

• chage (set-uid-root o set-gid-shadow): permite acceder al archivo /etc/shadow. Probado en instalaciones predeterminadas de Debian 13, Ubuntu 24.04, Ubuntu 26.04, Fedora 43 y Fedora 44.
• ssh-keysign (set-uid-root): posibilita la extracción de claves privadas SSH del host almacenadas en /etc/ssh/*_key. Validado en Debian 13 y Ubuntu 24.04/26.04.
• pkexec (set-uid-root): permite ejecutar comandos arbitrarios como root e incluso iniciar sesiones remotas vía SSH bajo determinadas condiciones. Probado en Debian 13, Ubuntu Desktop 24.04/26.04 LTS y Fedora Workstation 43/44.
• accounts-daemon (daemon root): facilita la ejecución arbitraria de comandos con privilegios de administrador. Verificado en Debian 13 y Fedora Workstation 43/44.

Según los analistas de Qualys, estos casos representan únicamente una muestra de la superficie de ataque potencial. Otros binarios con privilegios set-uid, set-gid, capacidades especiales o demons ejecutados como root podrían resultar igualmente vulnerables.

Aunque la vulnerabilidad requiere acceso local al sistema, su gravedad es elevada y no debe considerarse de baja prioridad. En la práctica, la diferencia entre una cuenta sin privilegios y el compromiso total del sistema desaparece. Cualquier atacante que obtenga acceso inicial mediante phishing, credenciales robadas, entornos CI restringidos o sistemas multiusuario compartidos, podría escalar rápidamente a privilegios de administrador.

Recomendaciones urgentes

Qualys recomienda a las organizaciones adoptar de inmediato las siguientes medidas:

1. Actualizar el kernel utilizando los paquetes corregidos para cada distribución.
2. Rotar claves SSH y revisar credenciales sensibles en sistemas que hayan permitido acceso local a usuarios no confiables durante el período de exposición.
3. Aplicar mitigaciones temporales, elevando kernel.yama.ptrace_scope a 2 en todos aquellos entornos donde el parcheo deba retrasarse.
4. Consultar los avisos oficiales publicados por proveedores como Red Hat, SUSE, Debian, Fedora, AlmaLinux y CloudLinux para obtener detalles específicos de mitigación y versiones corregidas.