Gravedad: Alta Fecha de publicación: 04 de junio de 2026 Última revisión: 03 de junio de 2026
Sistemas Afectados
- Linux Kernel con cgroups v1 habilitado (todas las versiones no parcheadas)
- Entornos de contenedores Docker, Kubernetes y LXC que utilicen cgroups v1
- Distribuciones Linux: Ubuntu, Debian, Red Hat Enterprise Linux, CentOS, SUSE y derivadas sin parche aplicado
- Plataformas de orquestación de contenedores en entornos de nube y on-premise
| Identificador CVE | CVE-2022-0492 |
| CVSS Score | 7.8 (Alta) |
| Tecnología | Linux Kernel — Control Groups v1 (cgroups v1) en todas las distribuciones que utilizan cgroups v1 |
| Fuente | SecurityWeek |
I. Descripción
CSIRT Panamá alerta sobre la explotación activa en entornos reales de CVE-2022-0492, una vulnerabilidad de autenticación incorrecta en la función control groups (cgroups) v1 del kernel Linux, según advertencia de CISA emitida el 3 de junio de 2026. Aunque los detalles técnicos de esta falla fueron publicados hace aproximadamente tres años, Kaspersky reportó esta semana su explotación activa en ataques dirigidos a entornos de contenedores, y CISA la incorporó inmediatamente al catálogo KEV ordenando su remediación antes del 5 de junio de 2026.
La vulnerabilidad permite a cualquier usuario modificar el archivo release_agent ubicado en la raíz de la jerarquía cgroup. Este archivo se ejecuta como root dentro del namespace de cgroup como parte del mecanismo de notificación de cgroup v1 cuando un grupo de procesos queda vacío. Un atacante puede crear un script malicioso en el sistema de archivos del host que será ejecutado como root, logrando efectivamente un escape del contenedor y escalación de privilegios al sistema anfitrión.
Esta vulnerabilidad es especialmente crítica en organizaciones que utilizan contenedores como Docker, Kubernetes o LXC, ya que un atacante que comprometa un contenedor puede usar esta falla para escapar al sistema host subyacente y comprometer toda la infraestructura de contenedores.
II. Impacto
- Escape de contenedores Docker, Kubernetes y LXC hacia el sistema host subyacente.
- Escalación de privilegios a root en el sistema anfitrión desde dentro de un contenedor.
- Compromiso total de toda la infraestructura de contenedores desde un único contenedor comprometido.
- Acceso no autorizado a datos de otros contenedores y servicios que corren en el mismo host.
- Posibilidad de persistencia en el sistema host tras el escape del contenedor.
III. Referencia a soluciones, herramientas e información
El CSIRT Panamá urge a los administradores de sistemas Linux y plataformas de contenedores a ejecutar las siguientes acciones, especialmente dado el plazo crítico de CISA (5 de junio de 2026):
- Aplicar inmediatamente los parches del kernel Linux disponibles en los repositorios oficiales de cada distribución que corrigen CVE-2022-0492.
- Migrar de cgroups v1 a cgroups v2, que no es vulnerable a este ataque. Verificar la configuración actual con:
stat -fc %T /sys/fs/cgroup/ - Revisar la configuración de seguridad de los contenedores: activar Seccomp, AppArmor o SELinux para limitar las llamadas al sistema disponibles desde los contenedores.
- Auditar todos los archivos release_agent existentes en el sistema:
find /sys/fs/cgroup -name release_agent - Implementar monitoreo de detección de escapes de contenedores usando herramientas como Falco o Sysdig para detectar comportamientos anómalos.
- Para Kubernetes: revisar los PodSecurityPolicies o PodSecurityAdmission para prohibir el uso de hostPID, hostIPC y privilegios elevados.
Referencias
- SecurityWeek — Organizations Warned of Exploited Linux Kernel Vulnerability
- NVD — CVE-2022-0492
- CISA KEV Catalog
- Red Hat — CVE-2022-0492
- Ubuntu — CVE-2022-0492
CSIRT PANAMA · Computer Security Incident Response Team
Autoridad Nacional para la Innovación Gubernamental
E-Mail: incidentes@cert.pa · info@cert.pa
Phone: +507 520-CERT (2378) · Web: https://cert.pa · X: @CSIRTPanama · Key ID: 16F2B124