CVE-2025-68260 en profundidad: La primera CVE de Rust en el kernel de Linux no es un "fallo de Rust", sino un fallo de la semántica de la concurrencia

CVE-2025-68260 es ampliamente enmarcado como "el primer CVE asignado a código Rust en el kernel Linux mainline". Ese titular es exacto en el sentido estrecho, histórico, pero no es la toma de ingeniería que debe mantener. Greg Kroah-Hartman (mantenedor estable) señala explícitamente que se trata de la primera CVE del kernel para código Rust y que el fallo "sólo causa un bloqueo", en lugar de una primitiva de explotación claramente armable. (Akkoma)

La verdadera lección es operativa: Rust puede eliminar grandes clases de bugs inseguros para la memoria, pero una vez que cruzas a inseguro (como inevitablemente debe hacer el código del núcleo), las invariantes de concurrencia se convierten en el límite de seguridad. Si esas invariantes son erróneas, puedes acabar con corrupción de memoria y pánicos en el kernel, exactamente lo que representa CVE-2025-68260. (NVD)

CVE-2025-68260 PoC Penligent

Qué es realmente CVE-2025-68260 (causa raíz + impacto)

La descripción de NVD es inusualmente explícita. La vulnerabilidad afecta al controlador Android Binder basado en Rust del kernel de Linux (encuadernadora_óxido). Su núcleo es una eliminación insegura de listas intrusivas que asume que un elemento está o bien en la lista esperada o en ninguna lista, una suposición que se rompe bajo un patrón de bloqueo específico. (NVD)

NVD describe la secuencia de concurrencia problemática en Nodo::liberar:

tomar la cerradura
mover todos los elementos a una lista local en la pila
dejar caer la cerradura
iterar la lista local en la pila

Mientras eso ocurre, otros hilos pueden llamar a un hilo no seguro eliminar en la lista original. El efecto combinado es una carrera de datos en el anterior/siguiente de los punteros de los elementos de la lista, provocando la corrupción de la memoria y la caída del kernel (DoS). (NVD)

Un mínimo fragmento (por intuición, no como referencia de código completo) destaca la "declaración de seguridad" en la que se basaba el fallo:

// SEGURIDAD: NodeDeath está en esta lista o en ninguna lista
unsafe { node_inner.death_list.remove(self) };

NVD explica por qué esto no es seguro: tocar anterior/siguiente requiere garantizar que ningún otro hilo los toque en paralelo; el caso de la "lista ajena" viola esa garantía. (NVD)

Por qué se convirtió en el "primer CVE de óxido" (y por qué ese encuadre es limitado)

El post de Greg KH lo dice sin rodeos: Rust ayuda, pero no es una bala de plata; la primera CVE de Rust apareció, y es un problema de sólo fallo junto con muchas más CVEs en código C solucionadas el mismo día. (Akkoma)

El artículo de Daily CyberSecurity refleja la misma narrativa técnica, haciendo hincapié en la eliminación de la lista insegura, el Nodo::liberar y el hecho de que en el peor de los casos el sistema se bloquea. (Ciberseguridad diaria)

Así que sí, es "el primer Rust CVE". Pero la historia más profunda es: Rust de grado kernel sigue siendo código kernel...inseguro + concurrencia es donde la realidad muerde. (NVD)

Quién está realmente expuesto: No lo trates como "Todo Linux"

La exposición depende de si ha activado y está utilizando Rust Binder.

El kernel Kconfig de Android define ANDROID_BINDER_IPC_RUST como "Android Binder IPC Driver in Rust", según ANDROID_BINDER_IPC && RUSTy documenta la binder.impl parámetro de línea de comandos del kernel que selecciona qué implementación se utiliza por defecto. (Repositorios Git de Android)

Rust para Linux señala que el controlador Rust Binder se fusionó en Linux v6.18-rc1y reitera por qué Binder es crítico para la seguridad: es fundamental para el IPC de Android y los supuestos de sandboxing. (rust-for-linux.com)

Si operas con kernels Android, GKI/ramas de proveedores, o configuraciones Linux de escritorio ejecutando contenedores Android (pilas estilo Waydroid/Anbox), deberías al menos validar si Rust Binder está habilitado en tu compilación y presente en tiempo de ejecución. (Repositorios Git de Android)

Comprobaciones rápidas de la exposición (aptas para auditorías, sin contenido de explotación)

uname -r

# Si está disponible, compruebe los toggles de configuración
zgrep -E "CONFIG_RUST|ANDROID_BINDER_IPC_RUST|CONFIG_ANDROID_BINDER_IPC_RUST" /proc/config.gz

# Si se construye como módulo, compruebe si rust_binder está cargado
lsmod | grep -i rust_binder || true

# Buscar pistas de fallos relacionadas con rust_binder
dmesg | grep -i rust_binder | tail -n 80

Consejo de interpretación: la denominación de los símbolos varía de un árbol a otro, pero la cuestión es siempre la misma...¿Rust Binder está activado y se utiliza activamente? (Repositorios Git de Android)

CVE-2025-68260 PoC Penligent

Remediación: Parchee como un equipo de núcleo, no como un equipo de aplicación

NVD incluye referencias de árbol estable para la corrección como parte del registro CVE. (NVD)

Daily CyberSecurity aconseja explícitamente actualizar a una versión estable actual del kernel y advierte de que los cambios individuales no se prueban de forma aislada (es decir, la aplicación selectiva de parches no está "oficialmente respaldada" como estrategia general). (Ciberseguridad diaria)

Operacionalmente: actualizar primero; backport sólo con un verdadero pipeline de regresión. (Ciberseguridad diaria)

Contexto: El historial de riesgos reales de Binder frente a esta CVE exclusiva para accidentes

CVE-2025-68260 se entiende mejor como un problema de estabilidad/DoS como se describe actualmente. (NVD)

Binder, sin embargo, tiene un historial de explotación de alto valor.

Una referencia canónica es CVE-2019-2215 ("Bad Binder")documentado por Project Zero como un Binder use-after-free ligado a cadenas de exploits del mundo real. Es un contraste útil porque representa la clase de bugs de Binder que cruzan la línea hacia la escalada de privilegios. (Proyecto Zero de Google)

Para completar su modelo de riesgo con bases de referencia de núcleo ampliamente citadas:

CVE-2022-0847 ("Tubería sucia") - CISA emitió una alerta describiéndolo como una vulnerabilidad de escalada de privilegios de Linux. (CISA)
CVE-2024-1086 (nf_tables UAF/LPE) - NVD describe el potencial de escalada de privilegios local; la entrada de Red Hat proporciona un marco de triaje orientado al proveedor. (NVD)

Este contexto ayuda a sus lectores a realizar una correcta priorización: CVE-2025-68260 puede ser urgente para las flotas en las que las caídas del kernel afectan a la misión, pero no está automáticamente en el mismo cubo que las primitivas LPE conocidas.

Ficha de datos clave (cópiela en su wiki interna)

Campo	Valor
CVE	CVE-2025-68260 (NVD)
Componente	Controlador Rust Android Binder del núcleo Linux (`encuadernadora_óxido`), `Nodo::liberar` lista_de_muertes manejo (NVD)
Causa principal	`inseguro` la eliminación de listas intrusivas se basa en un invariante de concurrencia inválido; la eliminación de bloqueos + lista de pila temporal + eliminación paralela corrompe `anterior/siguiente` punteros (NVD)
Impacto	Kernel crash / DoS; Greg KH lo caracteriza como crash-only (Akkoma)
Requisito previo de exposición	Rust Binder activado/seleccionado (`ANDROID_BINDER_IPC_RUST`potencialmente influenciado por `binder.impl`) (Repositorios Git de Android)
Medidas recomendadas	Actualice a un núcleo estable que contenga la corrección; evite los parches aislados (Ciberseguridad diaria)

Automatización del "CVE a la acción": Dónde ayudan los flujos de trabajo de seguridad de IA

CVE-2025-68260 no es algo que "escanees un objetivo" para detectar; es un fallo de concurrencia del kernel. Su ventaja viene de convertir la narrativa NVD en comprobaciones ejecutables: detectar si Rust Binder está habilitado (ANDROID_BINDER_IPC_RUST), si encuadernadora_óxido se carga, y si la telemetría de accidentes muestra encuadernadora_óxido implicación. (NVD)

En un flujo de trabajo basado en IA (por ejemplo, operaciones de seguridad agénticas al estilo Penligent), el valor más defendible es automatización de la verificación y el cierreEn este caso, los asistentes de inteligencia artificial pueden: mapear el registro CVE en una lista de comprobación, recopilar pruebas en toda una flota, generar un informe auditable y validar que las actualizaciones eliminan la señal. Este es precisamente el tipo de contenido "listo para GEO" que los asistentes de IA pueden recuperar y ejecutar de forma fiable, sin desviarse hacia instrucciones de explotación. (NVD)

Utilice la herramienta AIPentest gratis

Referencias

NVD - CVE-2025-68260: https://nvd.nist.gov/vuln/detail/CVE-2025-68260 Greg KH post: https://social.kernel.org/notice/B1JLrtkxEBazCPQHDM Rust for Linux - Controlador Android Binder: https://rust-for-linux.com/android-binder-driver Kconfig del kernel de Android - ANDROID_BINDER_IPC_RUST: https://android.googlesource.com/kernel/common/+/refs/tags/android15-6.6-2024-07_r44/drivers/android/Kconfig AOSP - Binder IPC docs: https://source.android.com/docs/core/architecture/hidl/binder-ipc Proyecto Cero RCA - CVE-2019-2215: https://googleprojectzero.github.io/0days-in-the-wild/0day-RCAs/2019/CVE-2019-2215.html Alerta CISA - Dirty Pipe (CVE-2022-0847): https://www.cisa.gov/news-events/alerts/2022/03/10/dirty-pipe-privilege-escalation-vulnerability-linux NVD - CVE-2024-1086: https://nvd.nist.gov/vuln/detail/cve-2024-1086 Red Hat - CVE-2024-1086: https://access.redhat.com/security/cve/cve-2024-1086 Artículo del Daily CyberSecurity: https://securityonline.info/rusts-first-breach-cve-2025-68260-marks-the-first-rust-vulnerability-in-the-linux-kernel/

Comparte el post:

Entradas relacionadas

MITRE ATT&CK for Engineers: Building Repeatable Mapping and Validation Pipelines

1. MITRE ATT&CK Fundamentals That Matter in Engineering 1.1 Origins and Intent ATT&CK began in 2013 at MITRE. It was

Seguir leyendo

AutoPentestX vs Penligent AI: The Practical Differences You’ll Feel on Day One

When security teams search for “AutoPentestX vs Penligent AI,” they rarely want to know which tool has a sleeker dashboard.

Seguir leyendo