
Una plataforma de caza de vulnerabilidades impulsada por inteligencia artificial ha descubierto una vulnerabilidad de 15 años en el kernel de Linux que permite a cualquier usuario sin privilegios escalar a acceso root en segundos, marcando otro hito en el uso acelerado de la IA para el descubrimiento de vulnerabilidades.
La falla, registrada como CVE-2026-43499 y denominada GhostLock, es una vulnerabilidad de use-after-free en el código futex de herencia de prioridad del kernel que ha estado presente desde 2011. Tiene una puntuación CVSS de 7.8 (Alta). Investigadores de Nebula Security la descubrieron utilizando la plataforma VEGA AI de la compañía, que analizó sistemáticamente código antiguo del kernel que rara vez había sido revisado por humanos.
“Nadie se dio cuenta. Luego una herramienta de caza de bugs con IA fue a buscar, y ahora cualquier usuario con sesión iniciada en una máquina sin parche puede convertirse en root en unos cinco segundos”, reportó Sameed Khan para Secure.com News.
El equipo de Nebula construyó un exploit funcional con un 97 por ciento de confiabilidad y demostró que la vulnerabilidad también puede usarse para escapar del aislamiento de contenedores, un hallazgo crítico para plataformas en la nube, entornos multiinquilino y ejecutores de CI/CD que dependen de los límites de los contenedores para la seguridad. Google pagó a los investigadores USD 92,337 a través de su programa de bug bounty kernelCTF por el descubrimiento.
El código del exploit funcional se ha hecho público, pero no se ha reportado abuso activo en la naturaleza.
La gravedad de GhostLock se amplifica mediante una cadena de ataque demostrada llamada IonStack, que combina el bug del kernel con una vulnerabilidad separada de Firefox (CVE-2026-10702). En ese escenario, una víctima solo necesita abrir un enlace malicioso: el exploit del navegador proporciona ejecución de código inicial dentro del sandbox de Firefox, luego GhostLock eleva la sesión a control root completo. Los investigadores demostraron que la cadena funciona contra Android Firefox.
El descubrimiento llega días después de que se revelara otro bug de escalada de privilegios en Linux descubierto por IA, Bad Epoll (CVE-2026-46242), en código antiguo relacionado del kernel. Los investigadores de seguridad esperan que este patrón continúe a medida que las herramientas de análisis impulsadas por IA examinan sistemáticamente décadas de código heredado del kernel.
Mitigación y parches
GhostLock afecta a todos los kernels de Linux desde 2011 en adelante. Los parches están disponibles a través de los canales de distribución convencionales, aunque los administradores deben verificar la corrección específica de su distribución. Los parches iniciales introdujeron un crash separado del kernel en algunas compilaciones.
Los sistemas que deberían priorizarse para aplicar parches incluyen:
- Servidores en la nube multiinquilino y hosts de contenedores, donde el vector de escape de contenedores representa el mayor riesgo
- Infraestructura de desarrollo compartido y CI/CD
- Cualquier sistema donde usuarios locales sin privilegios tengan cuentas
Las funciones de hardening del kernel como RANDOMIZE_KSTACK_OFFSET y STATIC_USERMODE_HELPER pueden hacer más difícil la explotación pero no eliminan la vulnerabilidad subyacente.
La divulgación de GhostLock subraya un cambio más amplio en ciberseguridad: las herramientas de IA están haciendo factible auditar vastas extensiones de código de infraestructura heredada que los revisores humanos han despriorizado durante mucho tiempo. Lo que a un equipo humano le tomó 15 años pasar por alto ahora puede ser encontrado por una IA en cuestión de horas.
Fuentes: GhostLock Flaw Gives Any Linux User Root Access (Secure.com News, 8 de julio de 2026); AI Found a Root Bug in Linux That Everyone Missed for 15 Years (Wired, 11 de julio de 2026)
Traducido por Alessandra

