PoC público: CVE-2026-31635 escala privilegios en Linux

Qué pasa

CVE-2026-31635, apodado DirtyDecrypt (también conocido como DirtyCBC), es una vulnerabilidad en el kernel Linux que permite LPE (Local Privilege Escalation — escalar de un usuario sin privilegios a root en el mismo sistema). Los investigadores de Zellic y V12 la reportaron el 9 de mayo de 2026 y se encontraron con una respuesta inesperada: los mantenedores del kernel la marcaron como *duplicado* de un bug previo ya reportado.

Ahora hay un PoC (código que demuestra que el bug se puede explotar) público y funcional, bautizado DirtyDecrypt en referencia directa al mecanismo de cifrado del kernel que abusa. El nombre evoca intencionalmente a DirtyPipe (CVE-2022-0847) y DirtyCow (CVE-2016-5195), dos LPE famosos en Linux que tuvieron impacto masivo.

Por qué importa

Un LPE con PoC activo en el kernel Linux es una combinación que los atacantes consumen rápido. No se trata de un RCE remoto, pero eso no lo hace inofensivo: si un atacante ya tiene foothold en tu sistema (vía phishing, credenciales filtradas, aplicación web comprometida), este bug le da root completo.

El ángulo del «duplicado» añade fricción extra. Si la vulnerabilidad original ya tenía parche, ese parche podría ser incompleto, estar mal aplicado, o simplemente no haber llegado aún a las distribuciones downstream. Debian, Ubuntu, RHEL, Fedora y Alpine tienen ciclos de backport distintos — no puedes asumir que «el kernel ya está parcheado» sin verificarlo.

Entornos especialmente expuestos: - VPS y servidores cloud con acceso SSH a múltiples usuarios - Pipelines CI/CD donde código arbitrario corre en el host - Hosting compartido con aislamiento de usuario - Contenedores sin namespacing completo que comparten kernel con el host

Qué hacer

• Identifica la versión exacta de tu kernel con `uname -r` y crúzala con el advisory oficial de tu distribución antes de asumir que estás protegido.
• Aplica el parche del kernel en cuanto esté disponible en tu distro. Si usas Debian/Ubuntu, `apt-get update && apt-get upgrade linux-image-*`. En RHEL/CentOS, `yum update kernel`.
• Prioriza máquinas donde usuarios no privilegiados pueden ejecutar código: runners de CI/CD, entornos de pruebas compartidos, VPS multi-tenant.
• Revisa logs del sistema en busca de intentos de escalada anómalos — en Linux, `/var/log/auth.log` y los logs del kernel (`dmesg`) son el primer sitio donde buscar.
• Si usas un SIEM (sistema centralizado de logs y alertas de seguridad), añade una regla para detectar ejecución de binarios SUID sospechosos o cambios de UID inesperados.

Mi lectura: el naming «Dirty» es deliberado y funciona — atrae atención. Pero lo que importa aquí no es el branding sino la velocidad: con un PoC funcional en circulación, el tiempo entre publicación y explotación activa se mide en horas, no en días.