Una nueva oleada de parches ha llegado al ecosistema Linux tras el descubrimiento de varias vulnerabilidades de tipo Use-After-Free (UAF) en el kernel, las cuales podrían permitir a un atacante local bloquear el sistema o ganar privilegios de root.
Los fallos, identificados y parcheados, afectan a subsistemas que gestionan la interacción con hardware físico, específicamente los puertos USB Type-C y los controladores SCSI.
Los Detalles del Fallo
El problema reside en cómo el Kernel maneja las tareas en segundo plano (delayed work) cuando se desconecta un dispositivo.
- El caso USB (CVE-2025-68323): En el driver ucsi (usado para gestionar interfaces USB-C), cuando un dispositivo se desconecta, el sistema libera la memoria asociada a él. Sin embargo, una “tarea de trabajo” (uec->work) quedaba pendiente en la cola del procesador. Si esa tarea se ejecutaba después de que la memoria se hubiera liberado, el Kernel intentaba acceder a una dirección vacía, provocando el fallo.
- El caso SCSI (CVE-2025-68324): Un error similar ocurría en el driver imm (usado para ciertos adaptadores SCSI/ZIP antiguos), donde una tarea de cola (imm_tq) no se cancelaba correctamente al desconectar el hardware.
Distribuciones Afectadas
Las alertas de seguridad de Ubuntu confirman que versiones en desarrollo y algunas versiones LTS con kernels HWE (Hardware Enablement) podrían verse afectadas dependiendo de la configuración exacta del driver.
¿Qué es un Use-After-Free (UAF)?
Imagina que alquilas una habitación de hotel (memoria), devuelves la llave (free), pero te quedaste con una copia y entras a la habitación cuando ya hay otro huésped (use).
En el Kernel, esto suele ocurrir por Condiciones de Carrera (Race Conditions). Un hilo del procesador libera la memoria, pero otro hilo (el “worker” del driver) intenta escribir en ella milisegundos después.
Esto suele causar un “Kernel Panic” (pantallazo azul de Linux), pero si un atacante es habilidoso, puede poner sus propios datos maliciosos en esa “habitación vacía” antes de que el segundo hilo la use, logrando ejecutar código como administrador.
El peligro de los Drivers
Estos fallos nos recuerdan que el núcleo de Linux es monolítico: un fallo en un driver de un adaptador SCSI viejo o un puerto USB puede comprometer todo el sistema operativo. A diferencia de los programas de usuario, si el driver falla, todo el servidor se cae.
¿Cómo protegerse?
La mitigación principal es actualizar el Kernel.
Si no puedes reiniciar servidores críticos ahora mismo, una mitigación temporal (si no usas esos puertos) es poner en la lista negra (blacklist) los módulos del kernel afectados:
echo “blacklist typec_ucsi” >> /etc/modprobe.d/blacklist.conf (Solo si no usas USB-C para gestión de energía).
Ficha Técnica: Vulnerabilidades UAF (Diciembre 2025)
| CVE ID | Componente Afectado | Descripción Técnica | Impacto |
| CVE-2025-68323 | USB Type-C (ucsi) | Fallo en gaokun_ucsi_remove por trabajo pendiente no cancelado. | DoS / Escalada Local |
| CVE-2025-68324 | SCSI (imm) | UAF en imm_queuecommand por imm_tq no finalizado. | DoS / Escalada Local |
| CVE-2025-68248 | VMware Balloon | Fallo lógico en la deflación de memoria durante migración. | Corrupción de Memoria |
