BleepingComputer publicó los detalles de DirtyDecrypt (también lo vi como DirtyCBC), una vulnerabilidad de escalada de privilegios a root en el kernel de Linux. Tiene CVE asignado (CVE-2026-31635) y, lo importante, ya hay exploit público.
Qué es y a quién toca
- Vive en el módulo
rxgkdel kernel (la función de decrypt) y requiere que esté activa la opciónCONFIG_RXGK—soporte RxGK para el cliente de AFS. - Afecta a distros que siguen de cerca el kernel mainline: Fedora, Arch y openSUSE Tumbleweed, entre otras.
- Hay PoC publicado por V12 y Delphos Labs, probado contra Fedora y mainline.
- Pertenece a la misma familia de bugs recientes (Dirty Frag, Fragnesia, Copy Fail).
La buena: no hay evidencia de explotación activa de DirtyDecrypt en sí. La mala: un primo cercano de la misma familia (Copy Fail) sí se está explotando en la calle, al punto que intervino CISA.
Qué hacer
- Lo primero: actualizar el kernel. El fix está en mainline desde fines de abril.
- Mitigación temporal (si no podés parchear ya): deshabilitar los módulos afectados. Ojo que eso te rompe los VPN IPsec y AFS, así que medilo antes.
Desde mi punto de vista
Estas escaladas locales suelen subestimarse —“total necesitás estar adentro de la máquina”—, pero en un mundo de contenedores, multi-tenant y pipelines de CI, “estar adentro” es mucho más común de lo que parece. Y con PoC público, el tiempo entre “curiosidad” y “lo usan” es corto. Si manejás flota de servidores Linux que trackea mainline, esta semana tocá kernel.
Fuente
Exploit available for new DirtyDecrypt Linux root escalation flaw (BleepingComputer).
