GhostLock: el bug que estuvo 15 años escondido en TODOS los Linux

Servidor Linux con código de kernel en pantalla
El kernel de Linux alojó GhostLock durante 15 años sin que nadie lo detectara.

Imagina esto: hay un agujero en el kernel de Linux tan profundo que lleva 15 años escondido en cada servidor, cada desktop, cada Android y cada contenedor Docker que usas. No es teoría conspirativa. Se llama GhostLock (CVE-2026-43499), y los investigadores de NebuSec acaban de publicar el exploit completo.

Lo peor: cualquier usuario sin privilegios puede ejecutarlo y obtener acceso root en 5 segundos.

¿Qué es GhostLock?

GhostLock es una vulnerabilidad de tipo stack Use-After-Free (UAF) en el subsistema rtmutex del kernel de Linux. Fue introducida en Linux 2.6.39 — sí, esa versión salió en 2011 — y recién se corrigió en Linux 7.1. 15 años de vida útil.

Los investigadores de NebuSec encontraron el bug gracias al programa kernelCTF de Google, que les pagó $92,337 por reportarlo y desarrollar un exploit funcional. Después, Project Zero de Google agregó otros $250,000 adicionales por demostrar que el mismo bug permitía escapar de máquinas virtuales invitadas.

En total: $342,337 pagados por un solo bug que vivió 15 años en el corazón de Linux.

¿A quién afecta?

TODAS las distribuciones de Linux. Ubuntu, Debian, Fedora, Arch, CentOS, RHEL, AlmaLinux, Rocky Linux, openSUSE, Slackware — todas. También Android (versiones 9, 13, 16 probadas). También sistemas embebidos. También contenedores Docker.

La lista de fuentes que lo cubren es escalofriante: The Hacker News, SecurityWeek, Ars Technica, IT Pro, Tech Times, Linuxiac — 15+ medios de seguridad alertando sobre el mismo bug.

Y el exploit ya es público. Cualquiera puede descargarlo, compilarlo y ejecutarlo.

¿Cómo funciona el ataque?

El exploit usa una carrera de condición (race condition) de tres hilos sobre el sistema de futexes de Linux. No necesita ninguna configuración especial del kernel. No necesita privilegios. Solo un usuario local con acceso a una shell.

El flujo es así:

  1. Tres hilos negocian un cicló de futexes para liberar un objeto del kernel mientras sigue siendo referenciado.
  2. El objeto liberado vive en la pila del kernel (stack-UAF), lo que permite al atacante controlar su contenido.
  3. Hijackean una tabla de funciones para redirigir el flujo de control y obtener ejecución de código arbitrario.
  4. Root en 5 segundos.

¿La parte más aterradora? Solo necesitas un núcleo de CPU. Los tres hilos del exploit se turnan en un solo core.

El exploit en acción

Los investigadores probaron el exploit en múltiples escenarios:

Y todo esto sin necesidad de KASLR (la aleatorización de direcciones del kernel). El exploit incluye técnicas para bypassear KASLR usando el CPU Entry Area (CEA), una estructura que apenas tiene 9 bits de entropía — trivial de romper con promedios estadísticos.

¿Qué significa para ti?

Si usas Linux — y sí, si estás leyendo esto, probablemente sí — tu kernel es vulnerable si es anterior a la serie 7.1. La mayoría de servidores en producción corren kernels 5.x, 6.x o LTS que no están parcheados.

Las distribuciones enterprise (RHEL, Ubuntu LTS, Debian) están backporteando el fix a sus kernels. Pero el proceso toma semanas. Mientras tanto, cada servidor sin parche es un objetivo.

Esto incluye:

Lo que no te dicen los medios

Aquí va la opinión polémica: GhostLock no es un error de un programador distraído. Es un síntoma de cómo el kernel de Linux se ha vuelto tan complejo que nadie puede revisarlo todo. 15 años. Múltiples auditorías. Cientos de mantenedores. Y este bug sobrevivió a todo.

Si un bug tan crítico como un UAF en una estructura que todos los hilos de Linux usan (los futexes están en cada operación de sincronización) pasó desapercibido por 15 años, ¿cuántos más hay esperando?

La respuesta de la comunidad ha sido rápida: el fix ya está en Linux 7.1 y se está backporteando. Pero el exploit es público, y los cibercriminales ya lo tienen en sus arsenales.

Actualiza tu kernel. Ahora. No esperes al próximo viernes de parches.

Qué hacer hoy

Si administras servidores Linux:

Y comparte esto con tu equipo de DevOps. Porque si ellos no saben que GhostLock existe, tu infraestructura ya está en riesgo.


Comparte esto con alguien que todavía cree que "Linux es inseguro por diseño" — la realidad es que ningún software es seguro cuando tiene 15 años de bugs sin detectar.

Fuentes: NebuSec (ionstack-part-2), The Hacker News, SecurityWeek, Ars Technica, IT Pro, Tech Times, Linuxiac, Google kernelCTF.