Falla 'Bad Epoll' en el kernel de Linux da acceso root a cualquier usuario sin privilegios; parche en espera de distribuciones

CVE-2026-46242, 'Bad Epoll', permite que cualquier cuenta local sin privilegios obtenga acceso root en servidores Linux y Android con kernel 6.4+. La corrección existe desde abril; la mayoría de las distribuciones aún no ha publicado el backport.
CVE-2026-46242, apodada "Bad Epoll" por el investigador Jaeyoung Chung del CompSec Lab de la Universidad Nacional de Seúl (mentor: Byoungyoung Lee), convierte cualquier cuenta local sin privilegios en acceso root en hosts con kernel Linux 6.4 o superior. La fiabilidad del exploit construido por Chung llegó al 99% en los objetivos probados, a pesar de que la ventana de carrera tiene solo seis instrucciones de ancho.
Cómo funciona la falla
El subsistema afectado es el epoll, el mecanismo que utilizan servicios de red, navegadores y prácticamente todo servidor Linux moderno para monitorear múltiples descriptores de archivo de manera eficiente. La falla es una condición de carrera del tipo use-after-free: cuando dos descriptores epoll configurados para monitorearse mutuamente se cierran casi al mismo instante, el kernel libera una región de memoria mientras otra thread sigue escribiendo en ella. Chung transformó este estado inconsistente en lecturas y escrituras arbitrarias en el espacio del kernel a través de /proc/self/fdinfo y, a continuación, ejecutó una cadena ROP para escalar privilegios.
El exploit también puede ser activado desde el renderer de Chrome en modo sandbox. En este escenario, un atacante con ejecución de código en el renderer encadena la falla para salir del sandbox y tomar el control completo de la máquina anfitriona, haciendo plausible una cadena de compromiso que comienza con JavaScript malicioso.
Parche en el mainline desde abril; la mayoría de las distribuciones sin backport
La corrección fue integrada en el mainline del kernel el 24 de abril de 2026, en el commit a6dc643c6931, pero permaneció sin anuncio público durante 70 días. Los paquetes oficiales de Ubuntu LTS, Debian Stable y Red Hat Enterprise Linux aún no han proporcionado el backport hasta la publicación de este artículo. Los dispositivos Android Pixel 10 y modelos con kernel 6.6 o posterior son vulnerables y esperan la actualización mensual de seguridad de Google; dispositivos con kernel 6.1, como el Pixel 8, quedan fuera del alcance.
La prueba de concepto completa, con repositorio público en github.com/J-jaeyoung/bad-epoll, fue validada en las versiones lts-6.12.67 y cos-121-18867.294.100.
El auditor de IA que acertó la mitad
El mismo fragmento de 2.500 líneas del subsistema epoll donde se esconde la falla había sido revisado por el modelo Mythos de Anthropic durante un ejercicio de auditoría de seguridad. La IA identificó una condición de carrera adyacente, catalogada como CVE-2026-43074, un resultado notable dado que las condiciones de carrera están entre los bugs más difíciles de localizar incluso para auditores experimentados. La falla que Chung revela ahora pasó desapercibida.
El episodio evidencia un límite claro de los modelos de lenguaje como auditores de seguridad: cubren una gran superficie de código en poco tiempo, pero tienden a perder variantes adyacentes de una misma clase de bug cuando el contexto de la carrera no está completamente explícito en la ventana de revisión. Anthropic no se pronunció sobre el resultado hasta el cierre de este artículo.
Lectura global: servidores de entrega y flotas Android
En Estados Unidos, los principales proveedores de infraestructura de nube operan sobre distribuciones Linux personalizadas basadas en kernels de la serie 6.x. Amazon y Google distribuyeron actualizaciones internas de emergencia para sus propias flotas según comunicados de seguridad emitidos a socios. Las instancias gestionadas por los clientes dependen de la acción de los propios equipos de infraestructura, sin plazo impuesto por el proveedor.
En India, donde TCS, Infosys y Wipro suman más de 1,3 millones de colaboradores operando sobre granjas de servidores Linux de centros de datos propios (basados principalmente en Red Hat y Ubuntu), cualquier usuario con credencial válida en una máquina vulnerable posee un vector de escalamiento de privilegios mientras no se aplique el backport. Se trata de un riesgo de origen interno: controles de perímetro de red no atenúan el problema.
En Brasil, Android posee más del 90% de la base de smartphones activos. Kernels 6.6 ya han llegado a dispositivos corporativos de entrada y medio porte. La exposición de flotas móviles empresariales depende de la velocidad con la que los fabricantes locales apliquen las actualizaciones mensuales de Google.
Qué hacer ahora
La mitigación no es una clave de configuración: es el kernel corregido. Los equipos de infraestructura deben identificar todos los hosts con kernel 6.4 o posterior a través de uname -r, verificar si la distribución ha publicado el backport del commit a6dc643c6931 y priorizar entornos de CI/CD compartidos y servidores accesibles a desarrolladores externos, donde el escalado de un usuario sin privilegios tiene mayor impacto operacional. Para flotas Android corporativas, la actualización de seguridad de julio de Google es obligatoria tan pronto como esté disponible por el fabricante del dispositivo.
La PoC pública está activa desde el 4 de julio; la ventana sin parche no es una exposición teórica.