El equipo de investigación de amenazas de Qualys (TRU) ha publicado los detalles de CrackArmor, un conjunto de nueve vulnerabilidades en el módulo AppArmor del kernel Linux. La parte incómoda es que llevan ahí desde la versión 4.11, lanzada en 2017. Durante casi nueve años, cualquier sistema con AppArmor activado por defecto ha cargado con el fallo sin saberlo.
AppArmor es uno de los módulos de seguridad (LSM) más extendidos. Ubuntu, Debian, SUSE y sus derivadas lo traen activo de fábrica para confinar procesos mediante perfiles que limitan a qué archivos y capacidades puede acceder cada programa. La ironía de CrackArmor es que el propio mecanismo pensado para contener procesos se convierte en la vía de ataque.
Qué es un fallo de “confused deputy”
El problema se clasifica como confused deputy. Un componente del kernel con privilegios actúa en nombre de un usuario sin comprobar bien si ese usuario tenía derecho a pedir la operación. En el caso de AppArmor, un usuario local sin privilegios puede manipular perfiles de seguridad a través de los pseudoficheros expuestos en /sys/kernel/security/apparmor/, saltarse las restricciones de los user namespaces y, encadenando varios de estos fallos, llegar a ejecutar código en el contexto del kernel.
Qualys describe varias consecuencias concretas:
- Escalada local de privilegios hasta root.
- Fuga de memoria del kernel, que sirve para derrotar KASLR (la aleatorización de direcciones).
- Denegación de servicio por agotamiento de pila y kernel panics.
- Salida del aislamiento de contenedores, lo que afecta de lleno a nodos de Kubernetes y entornos multiinquilino.
A quién afecta y con qué gravedad
Estamos ante una vulnerabilidad de escalada local: el atacante necesita ya una cuenta o un proceso en la máquina. No es un fallo explotable directamente desde Internet. Aun así la gravedad es alta porque convierte cualquier punto de apoyo (una web comprometida, una shell de bajo privilegio, un contenedor escapable) en control total del host.
Qualys cifra en más de 12,6 millones los sistemas potencialmente vulnerables a nivel mundial. La serie completa abarca once parches para nueve fallos: CVE-2026-23268, CVE-2026-23269 y la tanda CVE-2026-23403 a CVE-2026-23411. En este directorio puedes consultar la ficha del kernel de Linux para ver qué versiones están en soporte.
Mitigación
La recomendación es directa: aplicar la actualización del kernel en cuanto tu distribución la publique. Debian y Ubuntu ya han sacado correcciones (Debian a través de los avisos DSA-6162 y DSA-6163; Canonical con parches de kernel más mitigaciones en espacio de usuario para sudo y util-linux). Prioriza los activos expuestos a Internet y los nodos de Kubernetes, que son los que más pierden si alguien rompe el aislamiento.
Si no puedes parchear de inmediato, conviene vigilar /sys/kernel/security/apparmor/ en busca de cambios de perfil no autorizados y reforzar los controles de los contenedores con soluciones de seguridad adicionales. Pero esto son tiritas: el arreglo de verdad es el kernel actualizado.
Fuente
- Qualys Threat Research Unit — CrackArmor: https://blog.qualys.com/vulnerabilities-threat-research/2026/03/12/crackarmor-critical-apparmor-flaws-enable-local-privilege-escalation-to-root
- NVD — CVE-2026-23403: https://nvd.nist.gov/vuln/detail/CVE-2026-23403