{"id":5075,"date":"2026-06-04T08:45:53","date_gmt":"2026-06-04T13:45:53","guid":{"rendered":"https:\/\/cert.pa\/?p=5075"},"modified":"2026-06-04T08:45:53","modified_gmt":"2026-06-04T13:45:53","slug":"csirt-panama-aviso-2026-06-03-vulnerabilidad-en-kernel-linux-permite-escape-de-contenedores-y-escalacion-de-privilegios-explotacion-activa-confirmada-cve-2022-0492","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=5075","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2026-06-03: Vulnerabilidad en Kernel Linux Permite Escape de Contenedores y Escalaci\u00f3n de Privilegios \u2014 Explotaci\u00f3n Activa Confirmada (CVE-2022-0492)"},"content":{"rendered":"<p><strong>Gravedad:<\/strong> Alta \u00a0\u00a0\u00a0 <strong>Fecha de publicaci\u00f3n:<\/strong> 04 de junio de 2026 \u00a0\u00a0\u00a0 <strong>\u00daltima revisi\u00f3n:<\/strong> 03 de junio de 2026<\/p>\n<h2>Sistemas Afectados<\/h2>\n<ul>\n<li>Linux Kernel con cgroups v1 habilitado (todas las versiones no parcheadas)<\/li>\n<li>Entornos de contenedores Docker, Kubernetes y LXC que utilicen cgroups v1<\/li>\n<li>Distribuciones Linux: Ubuntu, Debian, Red Hat Enterprise Linux, CentOS, SUSE y derivadas sin parche aplicado<\/li>\n<li>Plataformas de orquestaci\u00f3n de contenedores en entornos de nube y on-premise<\/li>\n<\/ul>\n<table>\n<tbody>\n<tr>\n<td><strong>Identificador CVE<\/strong><\/td>\n<td>CVE-2022-0492<\/td>\n<\/tr>\n<tr>\n<td><strong>CVSS Score<\/strong><\/td>\n<td>7.8 (Alta)<\/td>\n<\/tr>\n<tr>\n<td><strong>Tecnolog\u00eda<\/strong><\/td>\n<td>Linux Kernel \u2014 Control Groups v1 (cgroups v1) en todas las distribuciones que utilizan cgroups v1<\/td>\n<\/tr>\n<tr>\n<td><strong>Fuente<\/strong><\/td>\n<td>SecurityWeek<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>I. Descripci\u00f3n<\/h2>\n<p>CSIRT Panam\u00e1 alerta sobre la explotaci\u00f3n activa en entornos reales de CVE-2022-0492, una vulnerabilidad de autenticaci\u00f3n incorrecta en la funci\u00f3n control groups (cgroups) v1 del kernel Linux, seg\u00fan advertencia de CISA emitida el 3 de junio de 2026. Aunque los detalles t\u00e9cnicos de esta falla fueron publicados hace aproximadamente tres a\u00f1os, Kaspersky report\u00f3 esta semana su explotaci\u00f3n activa en ataques dirigidos a entornos de contenedores, y CISA la incorpor\u00f3 inmediatamente al cat\u00e1logo KEV ordenando su remediaci\u00f3n antes del 5 de junio de 2026.<\/p>\n<p>La vulnerabilidad permite a cualquier usuario modificar el archivo release_agent ubicado en la ra\u00edz de la jerarqu\u00eda cgroup. Este archivo se ejecuta como root dentro del namespace de cgroup como parte del mecanismo de notificaci\u00f3n de cgroup v1 cuando un grupo de procesos queda vac\u00edo. Un atacante puede crear un script malicioso en el sistema de archivos del host que ser\u00e1 ejecutado como root, logrando efectivamente un escape del contenedor y escalaci\u00f3n de privilegios al sistema anfitri\u00f3n.<\/p>\n<p>Esta vulnerabilidad es especialmente cr\u00edtica en organizaciones que utilizan contenedores como Docker, Kubernetes o LXC, ya que un atacante que comprometa un contenedor puede usar esta falla para escapar al sistema host subyacente y comprometer toda la infraestructura de contenedores.<\/p>\n<h2>II. Impacto<\/h2>\n<ul>\n<li>Escape de contenedores Docker, Kubernetes y LXC hacia el sistema host subyacente.<\/li>\n<li>Escalaci\u00f3n de privilegios a root en el sistema anfitri\u00f3n desde dentro de un contenedor.<\/li>\n<li>Compromiso total de toda la infraestructura de contenedores desde un \u00fanico contenedor comprometido.<\/li>\n<li>Acceso no autorizado a datos de otros contenedores y servicios que corren en el mismo host.<\/li>\n<li>Posibilidad de persistencia en el sistema host tras el escape del contenedor.<\/li>\n<\/ul>\n<h2>III. Referencia a soluciones, herramientas e informaci\u00f3n<\/h2>\n<p>El CSIRT Panam\u00e1 urge a los administradores de sistemas Linux y plataformas de contenedores a ejecutar las siguientes acciones, especialmente dado el plazo cr\u00edtico de CISA (5 de junio de 2026):<\/p>\n<ul>\n<li>Aplicar inmediatamente los parches del kernel Linux disponibles en los repositorios oficiales de cada distribuci\u00f3n que corrigen CVE-2022-0492.<\/li>\n<li>Migrar de cgroups v1 a cgroups v2, que no es vulnerable a este ataque. Verificar la configuraci\u00f3n actual con: <code>stat -fc %T \/sys\/fs\/cgroup\/<\/code><\/li>\n<li>Revisar la configuraci\u00f3n de seguridad de los contenedores: activar Seccomp, AppArmor o SELinux para limitar las llamadas al sistema disponibles desde los contenedores.<\/li>\n<li>Auditar todos los archivos release_agent existentes en el sistema: <code>find \/sys\/fs\/cgroup -name release_agent<\/code><\/li>\n<li>Implementar monitoreo de detecci\u00f3n de escapes de contenedores usando herramientas como Falco o Sysdig para detectar comportamientos an\u00f3malos.<\/li>\n<li>Para Kubernetes: revisar los PodSecurityPolicies o PodSecurityAdmission para prohibir el uso de hostPID, hostIPC y privilegios elevados.<\/li>\n<\/ul>\n<h2>Referencias<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.securityweek.com\/organizations-warned-of-exploited-linux-kernel-vulnerability\/\">SecurityWeek \u2014 Organizations Warned of Exploited Linux Kernel Vulnerability<\/a><\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-0492\">NVD \u2014 CVE-2022-0492<\/a><\/li>\n<li><a href=\"https:\/\/www.cisa.gov\/known-exploited-vulnerabilities-catalog\">CISA KEV Catalog<\/a><\/li>\n<li><a href=\"https:\/\/access.redhat.com\/security\/cve\/cve-2022-0492\">Red Hat \u2014 CVE-2022-0492<\/a><\/li>\n<li><a href=\"https:\/\/ubuntu.com\/security\/CVE-2022-0492\">Ubuntu \u2014 CVE-2022-0492<\/a><\/li>\n<\/ul>\n<hr \/>\n<p><strong>CSIRT PANAMA<\/strong> \u00b7 Computer Security Incident Response Team<br \/>\nAutoridad Nacional para la Innovaci\u00f3n Gubernamental<br \/>\nE-Mail: <a href=\"mailto:incidentes@cert.pa\">incidentes@cert.pa<\/a> \u00b7 <a href=\"mailto:info@cert.pa\">info@cert.pa<\/a><br \/>\nPhone: +507 520-CERT (2378) \u00b7 Web: <a href=\"https:\/\/cert.pa\">https:\/\/cert.pa<\/a> \u00b7 X: @CSIRTPanama \u00b7 Key ID: 16F2B124<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Gravedad: Alta \u00a0\u00a0\u00a0 Fecha de publicaci\u00f3n: 04 de junio de 2026 \u00a0\u00a0\u00a0 \u00daltima revisi\u00f3n: 03 de junio de 2026 Sistemas Afectados Linux Kernel con cgroups v1 habilitado (todas las versiones no parcheadas) Entornos de contenedores&#8230;<\/p>\n","protected":false},"author":5,"featured_media":5082,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[72,210],"class_list":["post-5075","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad","tag-avisos-de-seguridad","tag-linux-kernel"],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/5075","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5075"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/5075\/revisions"}],"predecessor-version":[{"id":5083,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/5075\/revisions\/5083"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/5082"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5075"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5075"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5075"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}