Qualys publicó los detalles de CVE-2026-46333 —apodada ssh-keysign-pwn—, una vulnerabilidad de divulgación de información en el kernel Linux que permite a procesos sin privilegios leer descriptores de archivo todavía abiertos pertenecientes a procesos privilegiados. El fallo es relevante porque facilita la exfiltración de claves host SSH y del archivo shadow de contraseñas, lo que puede derivar en suplantación de máquinas, movimiento lateral y ataques de cracking offline.
El error reside en la lógica de la función __ptrace_may_access() que se ejecuta cuando los procesos salen: en determinadas condiciones el kernel omite las comprobaciones de 'dumpable' tras perder el mapeo de memoria, creando una ventana breve durante la cual otro proceso puede robar descriptores aún abiertos. Qualys acompañó la divulgación con un PoC que demuestra que la explotación es fiable en la práctica y señala que el fallo ha existido en alguna forma durante aproximadamente seis años; además, es el cuarto fallo local de alto perfil que afecta a Linux en pocas semanas.
Una vía de explotación destacada abusa del binario helper ssh-keysign de OpenSSH, que suele ejecutarse setuid root para la autenticación basada en host: ssh-keysign abre las claves host antes de bajar privilegios, lo que lo convierte en un blanco útil para extraer claves privadas SSH. La combinación del error con la syscall pidfd_getfd(2) facilita acceder a procesos privilegiados justo cuando se están cerrando, ampliando las posibilidades de exfiltración.
El parche señala, según Linus Torvalds, que la condición aparece por un caso especial en ptrace_may_access() donde se utiliza 'dumpable' fuera del contexto esperado. Greg Kroah — Hartman ya publicó actualizaciones de kernel con la corrección en ramas mantenidas, incluyendo las versiones 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207 y 5.10.256. El fallo afecta a todos los kernels publicados antes del 14 de mayo de 2026.
En la práctica, aunque el exploit no concede por sí mismo una shell root, permite exfiltrar claves host SSH y el archivo shadow de contraseñas, facilitando movimiento lateral, persistencia prolongada, suplantación de máquinas en relaciones de confianza y ataques de cracking offline a contraseñas. Las recomendaciones son claras: desplegar las versiones de kernel parcheadas cuanto antes; si la distribución no ha publicado paquetes con la corrección, vigilar los avisos del proveedor. Un comentario del equipo de Manjaro ilustra la urgencia: "Don't run your PC if you don't need it. Lock yours".
Priorice la aplicación de parches de kernel y, donde proceda, la rotación de claves SSH y otras prácticas de mitigación.
Fuentes
Respuestas (0)
Aún no hay respuestas en este tema.
