Recientemente, unos investigadores descubrieron una vulnerabilidad de tipo «Use-After-Free» (UAF) en el subsistema de colas de Linux conocido como HFSC (Hierarchical Fair Service Curve), a la que se le asignó el identificador CVE-2025-38001. Este fallo de seguridad les permitió comprometer con éxito varias instancias de kernelCTF de Google, así como sistemas Debian 12 totalmente actualizados. Este logro les valió aproximadamente 82,000 dólares en recompensas y subraya la importancia de una auditoría de código detallada, que va más allá de las pruebas de fuzzing automatizadas.
El exploit fue posible gracias a un error de lógica sutil. La configuración de una cola de disciplina de tráfico NETEM duplicada provocó una doble ejecución de la función init_ed(), lo que a su vez generó un bucle infinito en el kernel. Sin embargo, los investigadores lograron evitar el bloqueo del sistema al combinar esta acción con otra cola de disciplina de tráfico (TBF) que demoró las operaciones de eliminación de la cola. Esto les dio el tiempo suficiente para liberar una clase y desencadenar la vulnerabilidad UAF cuando se insertó una nueva clase.
Para explotar la UAF, los investigadores idearon una técnica innovadora para copiar punteros, manipulando la estructura de datos RBTree del kernel. Al superponer el espacio de memoria liberado con un vector de página de anillo de paquetes (pgv), lograron copiar un puntero a una página controlada por el atacante. El proceso incluyó una serie de pasos controlados de inserción, eliminación y reequilibrio del árbol de búsqueda binario.
Una vez que obtuvieron control sobre la página de memoria, la reasignaron y liberaron de forma controlada. Posteriormente, reutilizaron la página liberada con estructuras de archivo signalfd para lograr primitivas de escritura arbitrarias, que finalmente les permitieron sobrescribir credenciales. Con este acceso, lograron obtener privilegios de root tanto en los sistemas Debian 12 como en los entornos de kernelCTF.
Este ataque sofisticado demuestra cómo incluso fallos lógicos menores en subsistemas complejos del kernel, como el control de tráfico, pueden llevar a vulnerabilidades UAF poderosas. La vulnerabilidad ya ha sido corregida, y se insta a los mantenedores del kernel a implementar el parche lo antes posible. Este caso resalta la necesidad de que los investigadores continúen combinando las pruebas automatizadas con revisiones manuales de código para prevenir futuros ataques de esta naturaleza.
