Se ha revelado una vulnerabilidad en el kernel de Linux denominada Fragnesia, la cual permite que cualquier usuario local sin privilegios logre escalar sus permisos hasta obtener acceso de root. A diferencia de otros fallos, este no requiere de una condición de carrera, lo que lo convierte en uno de los exploits de escalada de privilegios locales más estables y fiables de los últimos años. El fallo fue descubierto por William Bowling, del equipo de seguridad V12.

Una vulnerabilidad del kernel de Linux recientemente revelada, denominada Fragnesia, permite que cualquier usuario local sin privilegios escale sus privilegios a root sin requerir una condición de carrera, lo que la convierte en uno de los exploits de escalada de privilegios locales más fiables vistos en los últimos años.

Descubierta por William Bowling, del equipo de seguridad V12, Fragnesia se une a una clase creciente de errores peligrosos del kernel que reescriben silenciosamente las reglas de seguridad de Linux.

Fragnesia pertenece a la clase de vulnerabilidades Dirty Frag, una prima de los infames errores Dirty Pipe y Copy Fail, pero se dirige a un fallo de lógica independiente en el subsistema Linux XFRM ESP-in-TCP.

El nombre mismo sugiere el mecanismo: el kernel "olvida" que un fragmento es compartido durante la coalescencia del búfer de sockets, corrompiendo memoria que nunca debió tocar.

Cómo funciona la vulnerabilidad del kernel de Linux Fragnesia

El exploit aprovecha un sutil error de lógica en la forma en que el kernel maneja el modo ULP (Protocolo de Capa Superior) de ESP-in-TCP.

Cuando un socket TCP transiciona a ULP espintcp después de que los datos del archivo ya hayan sido empalmados en la cola de recepción, el kernel procesa erróneamente esas páginas de archivo en cola como texto cifrado ESP.

Esto provoca que un solo byte del flujo de claves AES-GCM se aplique mediante XOR directamente en la caché de páginas del kernel de un archivo de solo lectura; no es necesaria ninguna condición de carrera.

Al seleccionar cuidadosamente un nonce IV para producir cualquier byte de flujo de claves deseado, un atacante puede cambiar cualquier byte en un archivo almacenado en caché a cualquier valor, un byte por cada invocación del activador.

El exploit construye una tabla de búsqueda de 256 entradas que mapea todos los bytes posibles del flujo de claves con sus nonces correspondientes, luego itera sobre una carga útil maliciosa, sobrescribiendo los primeros 192 bytes de /usr/bin/su en la caché de páginas con un pequeño stub ELF que llama a setresuid(0,0,0) y ejecuta /bin/sh.

Fundamentalmente, el binario en el disco permanece completamente intacto; solo se modifica la caché de páginas en memoria.

Versiones afectadas y mitigación

Cualquier versión del kernel de Linux afectada por Dirtyfrag, efectivamente cualquier kernel anterior al 13 de mayo de 2026, es vulnerable. El parche ha sido enviado al repositorio principal, pero los sistemas no parcheados siguen expuestos.

Hasta que el parcheo sea posible, debes descargar inmediatamente los módulos ESP afectados:

textrmmod esp4 esp6 rxrpc
printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf

Una advertencia crítica post-explotación: una vez que el exploit se ejecuta, /usr/bin/su en la caché de páginas permanece modificado y volverá a generar una shell de root en cada invocación hasta que se vacíe la caché. Debes ejecutar echo 1 | tee /proc/sys/vm/drop_caches o reiniciar antes de dejar cualquier máquina afectada desatendida.

Ya hay disponible una prueba de concepto pública en GitHub, lo que reduce significativamente la barrera para la explotación.

Si gestionas servidores Linux en tu organización, debes tratar esto como una prioridad crítica y aplicar el parche inmediatamente.