Fragnesia y ssh‑keysign‑pwn: dos vulnerabilidades críticas del kernel de Linux explicadas

Existe además un exploit público de prueba de concepto (PoC) que ya demostró funcionar en sistemas reales, incluidos entornos Ubuntu .

Es importante destacar que Fragnesia pertenece a la misma familia de problemas que la vulnerabilidad Dirty Frag, pero no se soluciona con los mismos parches. Incluso sistemas que ya corrigieron Dirty Frag necesitan aplicar una actualización adicional para corregir CVE‑2026‑46300 .

ssh‑keysign‑pwn (CVE‑2026‑46333): filtración de secretos de root

La segunda vulnerabilidad, ssh‑keysign‑pwn, afecta a la lógica de control de acceso del subsistema ptrace del kernel Linux.

A diferencia de Fragnesia, este fallo no entrega directamente una shell de root. En cambio, permite leer información sensible que debería estar restringida al usuario root .

El problema se origina en la función ptrace_may_access(), que decide si un proceso puede inspeccionar la memoria de otro. Debido a un manejo incorrecto de la propiedad llamada "dumpability", algunos controles de acceso no se aplican correctamente en ciertos procesos .

En la práctica, un atacante puede aprovechar este fallo para acceder a datos extremadamente sensibles, como por ejemplo:

• Claves privadas del host SSH almacenadas en /etc/ssh/
• Hashes de contraseñas en /etc/shadow

Los exploits publicados aprovechan el binario setuid‑root ssh-keysign, un helper de OpenSSH utilizado en autenticación basada en host. Este programa abre archivos de claves privadas antes de reducir privilegios; si un atacante se conecta al proceso en el momento adecuado mediante ptrace, puede extraer el descriptor de archivo o leer su memoria .

Parte de una ola reciente de fallos del kernel

Estas vulnerabilidades no aparecieron de forma aislada. Investigadores y proveedores de seguridad observaron una rápida serie de divulgaciones de fallos del kernel Linux, incluidos Dirty Frag y errores relacionados con Copyfail, en un periodo aproximado de dos semanas .

Muchos de estos fallos comparten características similares:

• Afectan subsistemas fundamentales del kernel como redes o tracing de procesos.
• Requieren que el atacante ya tenga ejecución local sin privilegios.
• Permiten escapar del aislamiento y obtener acceso root o secretos del sistema.

Este patrón preocupa a los equipos de seguridad porque, en ataques reales, los intrusos rara vez obtienen root inmediatamente. En cambio, primero consiguen acceso limitado y luego encadenan vulnerabilidades del kernel para tomar control total del sistema.

Versiones del kernel ya parcheadas

Los desarrolladores del kernel publicaron correcciones en varias ramas estables. Entre las versiones que incluyen el parche para CVE‑2026‑46333 se encuentran :

• 7.0.8
• 6.18.31
• 6.12.89
• 6.6.139
• 6.1.173
• 5.15.207
• 5.10.256

Las distribuciones Linux (como Ubuntu, Debian, AlmaLinux o Red Hat Enterprise Linux) están integrando estos parches en sus paquetes de actualización del kernel.

Qué deberían hacer los administradores ahora

Dado que ambas vulnerabilidades afectan al kernel, la única solución completa es instalar el kernel actualizado y reiniciar el sistema.

Pasos recomendados:

• Actualizar el kernel inmediatamente desde los repositorios oficiales de la distribución.
• Reiniciar el sistema para cargar el kernel corregido.
• Verificar la versión en ejecución con

  uname -r

  .
• Si se sospecha compromiso, rotar claves SSH del host y revisar accesos a archivos sensibles.

Por ejemplo, algunas distribuciones ya distribuyen parches que corrigen ambas vulnerabilidades mediante una actualización estándar del sistema seguida de un reinicio .

Mitigaciones temporales si no se puede parchear de inmediato

Si la actualización inmediata no es posible, existen algunas medidas provisionales para reducir la superficie de ataque.

Para Fragnesia

Si no se utilizan ciertas funciones de red relacionadas con IPsec, se pueden desactivar temporalmente módulos vulnerables como:

• esp4
• esp6
• rxrpc

Esto reduce la superficie de ataque, aunque puede afectar funcionalidades de red seguras basadas en IPsec .

Para ssh‑keysign‑pwn

Algunos administradores están limitando el uso de ptrace con configuraciones más estrictas del kernel, por ejemplo:

kernel.yama.ptrace_scope=2 o 3

Esta medida puede bloquear exploits conocidos, pero también romper herramientas de depuración como strace o gdb, por lo que debe considerarse solo una mitigación temporal .

En resumen

Las vulnerabilidades Fragnesia y ssh‑keysign‑pwn muestran lo peligrosos que pueden ser los fallos del kernel que se explotan después de un compromiso inicial.

Incluso si un atacante empieza con un acceso limitado, estas fallas pueden permitirle:

• Escalar privilegios hasta root.
• Acceder a secretos críticos del sistema.

Con exploits de prueba de concepto ya disponibles públicamente, retrasar la aplicación de parches aumenta significativamente el riesgo. La recomendación general de los proveedores de seguridad es clara: actualizar el kernel y reiniciar los sistemas lo antes posible.