No descargaste ningún virus. No abriste archivos adjuntos. Solo estuviste en un servidor Linux — y el acceso root ya estaba en manos ajenas
Todo lo que necesita un atacante es algo de paciencia… y un viejo bug olvidado en OverlayFS.
La Agencia de Ciberseguridad y Seguridad de Infraestructura de los Estados Unidos (CISA) ha incluido oficialmente en su catálogo de vulnerabilidades explotadas activamente (KEV) un fallo crítico en el núcleo de Linux — CVE-2023-0386. Se trata de un bug que en los últimos meses ha sido utilizado en ataques reales, a pesar de que el parche correspondiente fue publicado a comienzos de 2023.
La vulnerabilidad reside en la subsistema OverlayFS — un mecanismo diseñado para combinar múltiples capas de archivos y ampliamente utilizado en contenedores y distribuciones Live. El error ocurre al transferir archivos ejecutables con permisos extendidos entre volúmenes montados: el sistema no verifica si el usuario pertenece al espacio de nombres correcto, lo que permite la suplantación de privilegios de acceso.
Según un estudio de Datadog publicado en mayo de 2023, la explotación de esta brecha no representa mayor dificultad. Un atacante puede crear un archivo con la bandera SUID en un directorio como /tmp, obteniendo de hecho privilegios de usuario root. La simplicidad de este enfoque convierte a la vulnerabilidad en un objetivo especialmente atractivo para el uso masivo mediante herramientas automatizadas.
Aunque los desarrolladores corrigieron el fallo con relativa rapidez, en 2024 CISA detectó su uso activo por parte de grupos maliciosos. No se revela exactamente cómo se emplea el exploit, pero su inclusión en el catálogo KEV indica claramente que está siendo explotado en entornos reales.
El error afecta a un mecanismo de seguridad clave de Linux — los espacios de nombres, responsables de aislar procesos y gestionar los privilegios de usuario. Debido a una implementación defectuosa en los sistemas de archivos superpuestos, es posible cargar un objeto ejecutable desde una capa y ejecutarlo con privilegios administrativos. Esto resulta especialmente crítico en entornos multiusuario o arquitecturas basadas en contenedores.
Una amenaza adicional fue identificada poco después por especialistas de la empresa Wiz, quienes descubrieron dos vulnerabilidades relacionadas — CVE-2023-32629 y CVE-2023-2640. Agrupadas bajo el nombre GameOver(lay), permitían crear archivos ejecutables especiales que se iniciaban con permisos del sistema. Al igual que en el caso de CVE-2023-0386, el punto débil era la lógica defectuosa de OverlayFS, que permitía eludir restricciones básicas.
Debido al creciente riesgo, CISA ordenó a todas las agencias federales civiles (FCEB) instalar los parches correspondientes antes del 8 de julio de 2025. Esta medida busca minimizar la probabilidad de ataques y fortalecer la resiliencia de la infraestructura informática gubernamental frente a técnicas similares de escalado de privilegios.
Cabe destacar que la amenaza potencial no se limita a las estructuras estatales. Todos los sistemas basados en Linux que utilicen implementaciones vulnerables de OverlayFS están en riesgo. Son especialmente vulnerables los servidores con acceso público, las plataformas en la nube y las infraestructuras CI/CD que dependen del correcto funcionamiento de los mecanismos de aislamiento.
Incluso con políticas de seguridad activadas como AppArmor o SELinux, el exploit puede evadir restricciones si el núcleo no ha sido actualizado. Otro factor de riesgo es la autonomía del ataque: no requiere bibliotecas externas y puede ser ejecutado con herramientas ya presentes en el sistema.
Una protección fiable no se limita a un firewall o un antivirus, sino que exige un control constante de la actualización de los componentes del sistema y auditorías periódicas de los permisos de los archivos SUID, especialmente en entornos abiertos y distribuidos.