Bad Epoll CVE-2026-46242: la vulnerabilitat al kernel de Linux que dona accés root amb un 99% de fiabilitat i també afecta Android
Eric Serrano Bustos
Nota per a Eric: traducció tècnica correcta, es recomana repàs natiu abans de publicar donat el registre tècnic del contingut.
El 3 de juliol de 2026, l’investigador Jaeyoung Chung, estudiant de doctorat del CompSec Lab de la Universitat Nacional de Seúl, va publicar l’anàlisi completa de Bad Epoll (CVE-2026-46242), una vulnerabilitat de carrera use-after-free al subsistema epoll del kernel de Linux que permet a qualsevol usuari local sense privilegis escalar a root amb una fiabilitat aproximada del 99%. El fall afecta servidors Linux, escriptoris i dispositius Android que executen kernel v6.4 o superior. No existeix cap workaround possible perquè epoll no pot desactivar-se. Chung va presentar la vulnerabilitat com a zero-day al programa Google kernelCTF. El pedac va ser integrat al repositori principal del kernel (commit a6dc643c6931) a l’abril de 2026, però la divulgació pública completa amb el codi de l’exploit va arribar nomes el 3 de juliol, 70 dies després.
Què se sap de Bad Epoll (CVE-2026-46242)?
Vulnerabilitat: bug de carrera temporal use-after-free a la funció ep_remove() del subsistema eventpoll del kernel de Linux. Produeix corrupcio de memòria al heap del kernel.
CVSS 7.8 (High): vector d’atac local, complexitat baixa, privilegis baixos, sense interacció de l’usuari.
Abast: Linux desktops i servidors amb kernel v6.4 o superior, i dispositius Android. Els Pixel 8 (kernel v6.1) no estan afectats.
Fiabilitat de l’exploit: 99%. El disseny de Chung encadena quatre descriptors de fitxer epoll vinculats i aconsegueix una fiabilitat propera al 99% sense provocar caigudes del sistema.
Sense workaround possible: epoll no pot desactivar-se. Està compilat al kernel de qualsevol distribució Linux de propòsit general.
L’exploit pot disparar-se des de dins del sandbox de Chrome.
L’angle de la IA: el mateix bloc de codi epoll on s’amaga Bad Epoll va ser revisat per Mythos, el model d’IA d’Anthropic desplegat en el marc del Projecte Glasswing. Mythos va trobar CVE-2026-43074, el primer bug, però no va detectar Bad Epoll.
Sense explotació activa confirmada a data de publicació, però el codi de l’exploit és públic i altament fiable.
Família de bugs: Bad Epoll s’uneix a la sèrie Bad Binder, Bad IO_uring, Bad Spin.
Per què una vulnerabilitat local al kernel de Linux és un risc de primer ordre per a les empreses
L’escalada de privilegis local és el segon pas de gairebé tots els atacs avançats. Amb un exploit local que funciona el 99% de les vegades en qualsevol servidor Linux, la bretña entre accés limitat i control total de l’amfitrió es tanca de forma pràcticament determinísta.
Linux és a tot arreu on més importa: servidors cloud, contenidors, CI/CD i Android.
Els entorns multi-tenant i compartits són l’escenari més crític.
L’exploit és públic, fiable i pot disparar-se des de Chrome.
Com funciona la cadena d’explotació de Bad Epoll
Preparació: encadenament de quatre descriptors de fitxer epoll vinculats.
Disparament de la race condition a ep_remove().
Corrupcio de memòria: escriptura de vuit bytes en memòria alliberada.
Control d’un objecte de fitxer del kernel.
Lectura arbitrària de memòria del kernel via /proc/self/fdinfo.
Cadena ROP i shell root.
Lliçons clau i mitigacions disponibles
Acció immediata: aplicar el pedac del kernel
Prioritzar el pedac en servidors Linux accessibles des d’internet, runners CI/CD, nodes Kubernetes i sistemes multi-tenant. El pedac està disponible al commit a6dc643c6931.
Inventariar la versió de kernel a tota la flota Linux.
Per a dispositius Android: aplicar les actualitzacions de seguretat de Google.
Mitigacions de reducció de risc mentre es pedaca
Habilitar KASLR i SLUB randomization.
SELinux o AppArmor en mode enforced.
Restringir l’accés de baix privilegi a servidors crítics.
Detecció post-explotació
Bad Epoll deixa molt poques traces durant l’explotació. La detecció ha de centrar-se en nous binaris setuid no autoritzats, modificacions no planificades a sudoers, nous comptes amb privilegis, i events d’autenticació que segueixen immediatament un comproms de baix privilegi.
La ciberseguretat com a prioritat estratègica
Bad Epoll és un recordatori incòmode que el codi més revisat no és necessariament el més segur. Un únic commit de 2023 va introduir dues race conditions en 2.500 línies de codi epoll. Un model d’IA de frontera va revisar aquest codi, va trobar la primera, i no va trobar la segona.
Apolo Cybersecurity: auditoria de versions de kernel i priorització de pedacs en flotes Linux
A Apolo Cybersecurity ajudem organitzacions a gestionar el risc de vulnerabilitats de kernel com Bad Epoll: inventari de versions de kernel a tota la flota Linux, identificació de sistemes prioritaris per pedacar, validació de l’estat de backports en distribucions en ús, i configuració d’alertes de detecció post-explotació en SIEM i EDR.