Durante los últimos años, la seguridad del núcleo Linux ha sido objeto de múltiples investigaciones y ataques dirigidos, especialmente en entornos empresariales y de infraestructura crítica.
El aumento en el número de cargas de trabajo Linux en la nube y la expansión del ecosistema de distribuciones ha incrementado la superficie de ataque. En este contexto, el martes reciente se emitieron dos alertas clave: una relacionada con nuevas vulnerabilidades que permiten escalamiento local a root, y otra advertencia de la agencia CISA de EE. UU. sobre la explotación activa de una vulnerabilidad del kernel descubierta en 2023.
🔍 Dos nuevas vulnerabilidades encadenadas permiten acceso root completo
La firma de ciberseguridad Qualys publicó detalles técnicos y código de prueba de concepto (PoC) de dos vulnerabilidades críticas en Linux:
🛑 CVE-2025-6018: Falla en el sistema PAM
Afecta al marco de Módulos de Autenticación Plugable (PAM) en sistemas Linux. Permite a un usuario local sin privilegios elevar permisos hasta obtener el estado allow_active, que normalmente está reservado a usuarios físicamente presentes en el equipo.
🛑 CVE-2025-6019: Abuso del demonio Udisks
Una vez obtenido allow_active, esta segunda vulnerabilidad permite utilizar el demonio Udisks (encargado de la gestión de almacenamiento) y la biblioteca libblockdev para obtener acceso root total.
🔗 Explotación encadenada
Combinadas, estas vulnerabilidades permiten a un atacante local obtener control completo del sistema afectado sin necesidad de privilegios iniciales elevados.
Qualys advierte que Udisks está presente por defecto en la mayoría de las distribuciones Linux, lo que amplía significativamente el alcance del riesgo.
“Dada la ubicuidad de Udisks y la simplicidad del exploit, las organizaciones deben tratar esta amenaza como un riesgo crítico y universal, aplicando los parches sin demora,” señala Qualys.
⚠️ CISA alerta sobre explotación activa de falla en OverlayFS
Por otro lado, la CISA (Cybersecurity and Infrastructure Security Agency) de EE. UU. emitió una alerta sobre la explotación activa de la vulnerabilidad CVE-2023-0386, que afecta al subsistema OverlayFS del kernel Linux.
🔎 Detalles técnicos
Esta vulnerabilidad permite a un atacante local escalar privilegios mediante errores en la gestión de derechos de propiedad al copiar archivos ejecutables con permisos especiales entre montajes del sistema.
La falla fue corregida en enero de 2023, y poco después comenzaron a circular exploits públicos en GitHub, incrementando el riesgo.
📚 En el catálogo KEV
La CISA añadió CVE-2023-0386 a su catálogo de vulnerabilidades explotadas conocidas (KEV), dentro del mandato federal BOD 22-01, que exige a las agencias del gobierno estadounidense parchear sistemas comprometidos en un plazo de tres semanas.
🧠 GameOver(lay): un caso representativo
CVE-2023-0386 forma parte del conjunto de vulnerabilidades conocidas como GameOver(lay), que impactaron severamente a Ubuntu en la nube (40% de las cargas de trabajo). A pesar de no haber informes masivos de explotación, se sabe que este tipo de fallas son utilizadas por malware avanzado y actores persistentes.
🛡️ Un llamado urgente a la acción
Con más de 20 vulnerabilidades del kernel Linux listadas actualmente en el catálogo KEV de CISA, y un ecosistema cada vez más interconectado, las organizaciones deben reforzar sus políticas de gestión de parches y monitoreo continuo.
🔐 Recomendaciones clave:
- Aplicar parches de seguridad disponibles en distribuciones como Debian, Ubuntu, Red Hat y openSUSE.
- Deshabilitar servicios no esenciales como Udisks en entornos restringidos.
- Auditar el uso de PAM y OverlayFS en sistemas sensibles.
- Utilizar herramientas de detección de comportamiento para identificar elevaciones de privilegios sospechosas.
Fuente: somoslibres
