Nuevo fallo del kernel de Linux expone las claves de host SSH en el último revés de seguridad

Otro error de Linux de alto perfil llega

Los administradores de Linux tienen otro problema del kernel que vigilar, y este afecta directamente a algunos de los datos más sensibles de un sistema. Qualys ha revelado CVE-2026-46333, una vulnerabilidad de divulgación de información en el kernel de Linux que puede permitir a usuarios comunes leer datos a los que nunca deberían poder acceder, incluidas las claves privadas de host SSH y el archivo de contraseñas shadow.

Según el texto fuente proporcionado, la falla ha recibido el apodo

ssh-keysign-pwn porque una de las principales vías de explotación implica el binario auxiliar

ssh-keysign de OpenSSH. Ese auxiliar suele estar configurado como setuid root para la autenticación basada en host, abre las claves de host SSH del sistema y luego reduce privilegios para completar su trabajo. El problema es que un atacante podría interceptar el acceso durante una estrecha ventana a nivel del kernel.

Qué es la vulnerabilidad

Qualys afirma que el error se encuentra en la lógica

__ptrace_may_access() del kernel de Linux, concretamente en las comprobaciones que se ejecutan cuando los procesos salen. Bajo ciertas condiciones, las comprobaciones normales de

dumpable pueden omitirse después de que un proceso haya liberado su asignación de memoria. El resultado, según la fuente, es una breve oportunidad para que otro proceso robe descriptores de archivo.

Eso puede sonar limitado, pero las consecuencias prácticas no lo son. La fuente dice explícitamente que los atacantes podrían exfiltrar claves de host SSH y hashes de contraseñas. Incluso sin una obtención inmediata de root total, ese tipo de acceso representa una base de apoyo seria.

Por qué importan las claves de host SSH

Las claves privadas de host SSH no son solo credenciales locales. Ayudan a establecer la identidad de la máquina en entornos de confianza. Si esas claves se roban, un atacante podría hacerse pasar por una máquina legítima en relaciones de confianza basadas en host. Eso desplaza el riesgo de una sola máquina comprometida a oportunidades más amplias de movimiento lateral dentro de un entorno.

El archivo de contraseñas shadow plantea un problema distinto, pero igualmente importante. Una vez que los atacantes obtienen hashes de contraseñas, pueden intentar romperlos sin conexión y, potencialmente, reutilizar las credenciales recuperadas en otros sistemas. La fuente describe ambos resultados como potentes elementos para la persistencia y la expansión.

El momento es notable

Se describe esto como el cuarto agujero de seguridad local de Linux de alto perfil en solo unas pocas semanas. Esa secuencia importa porque aumenta la presión tanto sobre los mantenedores como sobre los operadores. Un solo error puede tratarse como mantenimiento rutinario. Un grupo de fallos del kernel cambia el panorama operativo, especialmente para las organizaciones que asumen que la postura de seguridad de Linux es estática o se administra sola.

Qualys también afirma que la falla ha existido de una forma u otra durante unos seis años. Si es exacto, la divulgación sería especialmente incómoda: una debilidad local vinculada a la lógica central de acceso, presente durante suficiente tiempo como para afectar a múltiples generaciones de versiones y entornos de despliegue.

Ya hay parche, pero persiste el retraso en las distribuciones

La buena noticia es que ya existe un parche. La mala noticia, según la fuente, es que la mayoría de las distribuciones de Linux aún no habían puesto la corrección a disposición general en el momento de la publicación. Esa brecha suele ser donde se acumula el riesgo. Una vez que una vulnerabilidad se hace pública, los defensores corren contra los plazos de empaquetado mientras los atacantes estudian rutas de prueba de concepto.

El artículo cita a Linus Torvalds explicando que el problema se origina en un caso especial extraño en el que

ptrace_may_access() usa

dumpable para comprobaciones que, por lo demás, son independientes del mapa de memoria. Se trata de un problema de implementación muy específico, pero refuerza que el error no es una vaga preocupación de endurecimiento. Es un fallo definido de la lógica del kernel con una corrección upstream.

Qué deben sacar en claro los operadores

• CVE-2026-46333 es una vulnerabilidad de divulgación de información en Linux.
• Qualys dice que puede exponer claves privadas de host SSH y el archivo de contraseñas shadow.
• Ya existe un parche, pero en la mayoría de las distribuciones aún no estaba disponible cuando se publicó el artículo fuente.
• La falla implica la lógica

  __ptrace_may_access() del kernel durante la salida de procesos.

Para los administradores, este es el tipo de problema que merece un trabajo inmediato de inventario. Los sistemas que ejecutan kernels sin parchear quizá no sean comprometibles de forma remota por este fallo por sí solo, según la fuente proporcionada, pero el acceso local basta para convertirlo en un serio facilitador de escalada.

La lección más amplia tiene menos que ver con un apodo y más con el ritmo. Linux está en medio de un periodo visible de revisión de seguridad, y la disciplina de los operadores respecto a parches, disponibilidad de paquetes y exposición de usuarios locales importa más cuando los errores del kernel empiezan a aparecer en grupos.

Este artículo se basa en la cobertura de ZDNET. Leer el artículo original.