Se ha publicado una prueba de concepto sobre la vulnerabilidad. DirtyDecrypt, también conocido como CBC sucia, lo que permite a un usuario local sin privilegios obtener privilegios de root en algunos sistemas. LinuxEl problema está en el código. rxgk subsistemas RxRPC y está relacionado con una escritura de caché de página debido a una comprobación de copia en escritura faltante en la función rxgk_decrypt_skb(). La PoC fue publicada el 18 de mayo de 2026 por BleepingComputer; la PoC en sí está publicada en Repositorios del equipo V12.
RxRPC es un protocolo de red del núcleo del sistema operativo. Linux sobre UDP, proporcionando un transporte fiable para operaciones remotas. La documentación del kernel establece específicamente que AFS Andrew File System es un ejemplo de aplicación que utiliza RxRPC, y el protocolo en sí admite negociaciones de seguridad de conexión. Aquí es donde entra en juego RxGK, utilizado para el modo seguro de RxRPC/AFS.
Según la descripción de V12, DirtyDecrypt es otra variante de la clase de vulnerabilidades. CopyFail / Dirty Frag / FragnesiaTodos giran en torno a una idea similar: la manipulación incorrecta de la memoria del kernel, la caché de páginas y los búferes puede permitir que un proceso local sin privilegios afecte a datos que deberían ser inmodificables. En el caso de DirtyDecrypt, se trata de una "escritura en la caché de páginas de rxgk" debido a la falta de protección COW en rxgk_decrypt_skb().
El equipo V12 afirma haber descubierto y reportado el problema. 9 mayo del año 2026Sin embargo, los responsables del mantenimiento del kernel respondieron que se trataba de un error duplicado que ya había sido corregido. Los investigadores publicaron entonces una prueba de concepto, afirmando que la solución ya estaba integrada en el kernel principal.
La situación con los CVE no parece del todo sencilla. BleepingComputer informa que no hay un CVE oficial separado para el nombre DirtyDecrypt en el momento de la publicación, pero el analista Will Dormann vincula los detalles publicados por V12 a CVE-2026-31635, corregido a finales de abril. NVD describe CVE-2026-31635 como un error en rxrpc: la función rxgk_verify_response() comprobaba incorrectamente la longitud del autenticador RESPONSE, lo que podía provocar que se pasara un autenticador demasiado largo a rxgk_decrypt_skb() y causara que el código fallara BUG_ON(len).
Es decir, las publicaciones disponibles públicamente vinculan DirtyDecrypt con CVE-2026-31635, pero la descripción formal de CVE en NVD actualmente parece más específica y se refiere principalmente a un error de verificación de longitud en rxrpc, en lugar de directamente al alias DirtyDecrypt/DirtyCBC como una entrada separada. Por lo tanto, es más correcto escribir: Es probable que DirtyDecrypt sea compatible o esté estrechamente relacionado con CVE-2026-31635.en lugar de afirmar que es el nombre oficial de CVE.
Para su funcionamiento, se requiere un núcleo con esta opción habilitada. CONFIG_RXGK, que incluye soporte RxGK para el cliente AFS y transporte de red. Esto reduce significativamente el rango de sistemas afectados: principalmente, afecta a las distribuciones que siguen rápidamente al kernel upstream, incluyendo Fedora, Arco Linux и openSUSE TumbleweedBleepingComputer subraya que la prueba de concepto (PoC) publicada para la versión V12 solo se probó en Fedora y en el kernel principal.
DirtyDecrypt surgió en el contexto de toda una serie de productos similares. Linux Vulnerabilidades LPE. Reveladas previamente. Error de copia en algif_aead, Fragmento sucio en componentes de red y luego Fragnesia en XFRM ESP-en-TCP Microsoft descrito Dirty Frag es una vulnerabilidad de escalada de privilegios local que se produce a través de los componentes esp4, esp6 y rxrpc, lo que permite a un atacante obtener acceso local y afianzarse en el sistema.
El peligro práctico de estos errores radica en que suelen explotarse tras la brecha inicial: por ejemplo, después de comprometer una cuenta SSH, una shell web, un contenedor vulnerable o un usuario de servicio con pocos privilegios. Una vez obtenido el acceso de administrador, un atacante puede desactivar los controles de seguridad, leer información confidencial, modificar registros, implementar persistencia y avanzar por la infraestructura.
Se recomienda a los usuarios de distribuciones de lanzamiento continuo potencialmente afectadas que instalen las últimas actualizaciones del kernel. Para los sistemas donde no sea posible realizar actualizaciones inmediatas, las publicaciones mencionan soluciones temporales como la desactivación de los módulos rxrpc no utilizados y los componentes relacionados. Sin embargo, estas soluciones provisionales pueden afectar a AFS y a algunos escenarios de IPsec/VPN, por lo que solo deben aplicarse tras confirmar su impacto en un sistema específico.
Para la mayoría de las instalaciones de escritorio y servidor, el riesgo es probablemente menor que Copy Fail: DirtyDecrypt requiere una configuración de kernel específica y ejecución de código local. Sin embargo, para Fedora, Arch LinuxEn sistemas como openSUSE Tumbleweed y otros con actualizaciones rápidas del kernel, el problema merece atención: ya no se trata de un informe teórico, sino de una vulnerabilidad con una prueba de concepto publicada y una vía clara para la escalada de privilegios.
Fuente: linux.org.ru
