Vulnerabilidad Linux Dirty Frag: recomendaciones para VPS

Announcements Maintenance & Incidents
,
1

Vulnerabilidad Linux Dirty Frag: recomendaciones para VPS
Vulnerabilidad Linux Dirty Frag: recomendaciones para VPS1536×1024 405 KB

Vulnerabilidad Linux Dirty Frag: recomendaciones para VPS

Se han revelado nuevas vulnerabilidades críticas que afectan al kernel de Linux, agrupadas bajo el nombre Dirty Frag. Una está identificada como CVE-2026-43284, mientras que la segunda sigue pendiente de recibir un identificador CVE. Permiten una elevación local de privilegios hasta root y afectan a múltiples distribuciones Linux, incluidas todas las versiones de Ubuntu con soporte listadas por Canonical.

Las vulnerabilidades de elevación de privilegios siguen encadenándose en Linux. A principios de esta semana ya publicamos una noticia sobre la vulnerabilidad Linux Copy Fail, las medidas aplicadas en BoxToPlay y las recomendaciones para tu VPS.

BoxToPlay ha tomado las medidas necesarias en sus propias infraestructuras administradas internamente. La mitigación recomendada por Ubuntu ya se ha desplegado en los hosts afectados allí donde somos responsables de los sistemas. En cambio, en los VPS de nuestros clientes, la aplicación de esta mitigación y de los futuros parches del kernel sigue siendo responsabilidad de cada administrador del sistema invitado.

Qué hace Dirty Frag

Dirty Frag agrupa en realidad dos vulnerabilidades de tipo Local Privilege Escalation (LPE) en módulos del kernel de Linux:

  • los módulos ESP (esp4 / esp6), usados para IPsec/ESP (cifrado de red, VPN);
  • el módulo RxRPC (rxrpc), usado especialmente por el sistema de archivos distribuido AFS.

Aprovechando estos módulos, un usuario local puede realizar escrituras arbitrarias en la caché de páginas del kernel y así obtener control total del sistema como root. Canonical evalúa la gravedad como ALTA (CVSS 3.1: 7.8).

Dirty Frag afecta a:

  • los hosts Linux clásicos sin contenedores: elevación local de privilegios hasta root;
  • los hosts que ejecutan contenedores potencialmente no fiables: elevación de privilegios y riesgo potencial adicional de escape de contenedor.

El riesgo se mantiene hasta que se instalen las actualizaciones de seguridad correspondientes en los sistemas afectados.

Mitigación temporal recomendada por Ubuntu

Mientras llegan los paquetes de kernel corregidos, Ubuntu recomienda desactivar por completo los módulos vulnerables para impedir que se carguen y descargarlos si ya están activos.

Los pasos son los siguientes:

  1. Bloquear la carga futura de esp4, esp6 y rxrpc mediante modprobe.d.
  2. Regenerar el initramfs para evitar que se carguen durante el arranque.
  3. Descargar los módulos ya cargados.
  4. Verificar que ninguno siga presente y reiniciar si es necesario.

1. Bloquear los módulos con /etc/modprobe.d/dirty-frag.conf

Cree el archivo de configuración que redirige su carga hacia /bin/false:

echo "install esp4 /bin/false" | sudo tee /etc/modprobe.d/dirty-frag.conf
echo "install esp6 /bin/false" | sudo tee -a /etc/modprobe.d/dirty-frag.conf
echo "install rxrpc /bin/false" | sudo tee -a /etc/modprobe.d/dirty-frag.conf

2. Actualizar todos los initramfs

sudo update-initramfs -u -k all

Este paso garantiza que los módulos ya no podrán cargarse durante el arranque.

3. Descargar los módulos si ya están cargados

sudo rmmod esp4 esp6 rxrpc 2>/dev/null

4. Comprobar el estado de los módulos

grep -qE '^(esp4|esp6|rxrpc) ' /proc/modules && echo "Affected modules are loaded" || echo "Affected modules are NOT loaded"

Ejemplo de salida:

Affected modules are NOT loaded

Si los módulos siguen cargados, con el mensaje « Affected modules are loaded », significa que todavía están siendo utilizados por algún servicio, por ejemplo una VPN IPsec basada en ESP o AFS. En ese caso, la mitigación solo será completamente efectiva después de reiniciar:

sudo reboot

Importante: desactivar ESP afecta a las VPN IPsec basadas en ESP y a RxRPC, así como a los despliegues AFS. Si tu entorno VPS depende de estos servicios, te recomendamos evaluar cuidadosamente el impacto antes de aplicar la mitigación en tus propias máquinas.

Desactivar la mitigación después de actualizar el kernel

Una vez que los kernels se hayan actualizado a una versión corregida y el sistema se haya reiniciado, la mitigación temporal puede retirarse:

sudo rm /etc/modprobe.d/dirty-frag.conf
sudo update-initramfs -u -k all

Lo que BoxToPlay ha puesto en marcha en sus propias infraestructuras

  • La mitigación Ubuntu Dirty Frag ya se ha desplegado en los hosts afectados de las infraestructuras explotadas y administradas directamente por BoxToPlay.
  • Seguimiento activo de los avisos de seguridad de las distribuciones Linux para preparar el despliegue rápido de los kernels corregidos en cuanto estén disponibles en los entornos afectados.
  • Cuando hace falta, los reinicios necesarios se gestionan de forma controlada para completar la protección en nuestros propios sistemas.

Recomendaciones para tu propio VPS

BoxToPlay no modifica el sistema invitado de los VPS autoadministrados. Por eso recomendamos encarecidamente a los administradores que gestionan su propio sistema:

  • aplicar la mitigación anterior en distribuciones basadas en Ubuntu si ejecutan cargas potencialmente no fiables;
  • mantener el kernel actualizado en cuanto se publiquen los correctivos oficiales;
  • limitar el acceso shell a cuentas de confianza y reforzar controles como los registros, las claves SSH y otras medidas de endurecimiento.

Conclusión: protege tus proyectos en nuestros servidores VPS

La vulnerabilidad Dirty Frag recuerda la importancia de un seguimiento de seguridad riguroso en cualquier servidor Linux. En BoxToPlay hemos tomado las medidas necesarias en nuestras propias infraestructuras, pero cada administrador también debe proteger el sistema invitado de su VPS. Si quieres probar un entorno VPS flexible, puedes probar gratis tu servidor VPS.