Una reciente advertencia emitida por la Agencia de Ciberseguridad e Infraestructura (CISA) de EE. UU. ha encendido las alarmas sobre una vulnerabilidad crítica en el módulo OverlayFS del kernel de Linux. La falla, identificada como CVE-2023-0386, permite a atacantes locales obtener privilegios de superusuario (root) en múltiples distribuciones ampliamente utilizadas.
🚨 Exploit activo y advertencia federal
Según reporta BleepingComputer, la CISA ha advertido a las agencias federales estadounidenses sobre la explotación activa de esta vulnerabilidad. Aunque fue corregida en enero de 2023 y revelada públicamente en marzo, desde mayo de 2023 comenzaron a circular en GitHub códigos de prueba de concepto (PoC) que facilitaron su explotación. Esto obligó a los administradores de sistemas a priorizar su parcheo inmediato.
🛠️ ¿Qué es CVE-2023-0386?
Se trata de una vulnerabilidad de escalada de privilegios local originada por un error en la gestión de derechos de propiedad en el submódulo OverlayFS del kernel de Linux.
¿Cómo funciona el ataque?
- Un usuario sin privilegios puede copiar un archivo ejecutable con permisos elevados desde un montaje nosuid hacia otro montaje utilizando OverlayFS.
- Debido a una incorrecta asignación de UID (propiedad del usuario), el sistema permite esta acción sin la debida autorización.
- Esto brinda la posibilidad de obtener acceso root sin explotar remotamente el sistema.
🎯 Distribuciones afectadas
Según un análisis del equipo de seguridad de Datadog, esta vulnerabilidad afecta a distribuciones como:
- Debian
- Red Hat
- Ubuntu
- Amazon Linux
La condición es que estén ejecutando versiones del kernel anteriores a la 6.2, que fue donde se integró la solución definitiva.
🕒 Plazo para aplicar el parche
Bajo la Directiva Operacional Obligatoria 22-01 (BOD 22-01) emitida en 2021, las agencias de la rama ejecutiva civil federal (FCEB) tienen tres semanas para aplicar los parches necesarios. CISA enfatiza que este tipo de vulnerabilidades representan una amenaza significativa para la infraestructura federal, dado que los atacantes pueden emplearlas para infiltrarse sin detección.
🔬 Más amenazas: nuevas vulnerabilidades en el radar
Investigadores de la Unidad de Investigación de Amenazas de Qualys (TRU) han advertido también sobre dos nuevas vulnerabilidades recientemente corregidas, que igualmente permiten la elevación de privilegios en sistemas Linux.
Una de ellas, CVE-2025-6019, fue usada con éxito por Qualys en pruebas para obtener acceso root en:
- Debian
- Ubuntu
- Fedora
- openSUSE
✅ Recomendaciones clave
- Verificar la versión del kernel y actualizar a 6.2 o superior si es necesario.
- Auditar el uso de OverlayFS y restringir montajes innecesarios o no seguros.
- Aplicar los parches de seguridad publicados por la distribución correspondiente.
- Supervisar actividad inusual que pueda indicar intentos de escalada de privilegios.
La vulnerabilidad CVE-2023-0386 pone en evidencia la necesidad de gestionar proactivamente la seguridad del kernel en entornos Linux. Con exploits públicos disponibles y ataques en curso, los administradores deben actuar con urgencia para mitigar los riesgos. La aparición de nuevas fallas como CVE-2025-6019 refuerza la importancia de mantener un enfoque continuo en parcheo, monitoreo y gestión de configuraciones seguras.
Fuente: somoslibres
