Zombis, temporizadores y una carrera contrarreloj: detectan la vulnerabilidad Chronomaly en el núcleo de Linux (y el exploit ya está en GitHub)
Si tienes por ahí un Linux o Android de 32 bits, es hora de revisar la configuración y las actualizaciones del núcleo.
En Linux se ha descubierto una vulnerabilidad que para explotarla basta con capturar un momento muy corto en el tiempo, y el kernel empieza a trabajar con memoria que ya fue liberada. Ahora esto no es solo teoría. En GitHub publicaron un PoC funcional para CVE-2025-38352 (puntuación CVSS: 7.4), y muestra que el problema realmente puede emplearse para la obtención de privilegios.
CVE-2025-38352 se refiere a la implementación de los temporizadores de CPU POSIX y constituye un error de tipo use-after-free en la función handle_posix_cpu_timers(). El fallo solo se manifiesta en configuraciones donde está desactivado el parámetro CONFIG_POSIX_CPU_TIMERS_TASK_WORK. Dicha configuración es frecuente en núcleos Android de 32 bits, mientras que en sistemas de 64 bits normalmente se emplea otra configuración y la vulnerabilidad no se reproduce allí.
El núcleo del problema es una condición de carrera que aparece cuando los temporizadores POSIX CPU se disparan sobre las llamadas tareas zombie. Si se sincroniza con mucha precisión la creación del proceso zombie, su recolección por el proceso padre y la eliminación del temporizador, el kernel puede acceder a memoria que ya fue liberada. En el peor de los casos esto abre la vía a la elevación de privilegios o incluso a la ejecución de código a nivel del kernel.
El exploit recibe el nombre Chronomaly. Fue publicado por la investigadora Faith, que trabaja en la empresa Zellic. Junto con el código se publicó una serie detallada de tres artículos técnicos que analizan el descubrimiento de la vulnerabilidad, su investigación y las técnicas prácticas de explotación. Se destaca que Chronomaly no requiere conocer de antemano los desplazamientos de símbolos del kernel ni direcciones fijas en memoria, por lo que resulta más portátil y menos ligado a una compilación concreta.
Para capturar de forma estable la ventana de la condición de carrera, el exploit necesita un procesador multinúcleo con al menos dos CPU. En la documentación se muestran resultados de pruebas en QEMU con el kernel Linux 5.10.157, y los parámetros pueden ajustarse a distintos entornos. Internamente se emplean técnicas para ampliar la ventana de la carrera mediante manipulaciones de los temporizadores de CPU y una estrategia de distribución de objetos entre las cachés del asignador, incluida la gestión de estructuras sigqueue.
Es importante también que la vulnerabilidad ya figura en el catálogo de vulnerabilidades explotadas activamente de la CISA, es decir, se la asocia con casos reales de explotación. Aunque el riesgo principal ahora está vinculado a dispositivos Android de 32 bits, los componentes implicados existen también en variantes de 32 bits de otros sistemas tipo Linux, por lo que no conviene atribuir el problema únicamente a "teléfonos antiguos".
La recomendación es la habitual, pero en este caso especialmente urgente: actualizar a un kernel con la corrección o habilitar CONFIG_POSIX_CPU_TIMERS_TASK_WORK, si es posible en su compilación. La corrección ya está disponible; fue incorporada por el commit f90fff1e152dedf52b932240ebbd670d83330eca y evita el procesamiento de temporizadores en tareas zombie. A los fabricantes de dispositivos y a los administradores de sistemas se les aconseja priorizar las actualizaciones hasta que Chronomaly se convierta en una herramienta universal para ataques masivos.