Underc0de - La Casa de los Informáticos

Una nueva vulnerabilidad crítica de seguridad en el kernel de Linux, identificada como CVE-2026-31431 y apodada "Copy Fail", ha encendido las alarmas en la comunidad de ciberseguridad. Este fallo permite a un atacante local sin privilegios obtener acceso root de forma fiable, afectando a sistemas Linux desplegados desde 2017.

El exploit ya es público, lo que incrementa significativamente el riesgo de explotación en entornos productivos, especialmente en infraestructuras multiusuario, contenedores y entornos cloud.

¿Qué es la vulnerabilidad Copy Fail (CVE-2026-31431)?

La vulnerabilidad CVE-2026-31431 fue descubierta por la empresa de seguridad ofensiva Theory utilizando su plataforma automatizada de pentesting impulsada por IA, denominada Xint Code.

El fallo reside en un error lógico en la implementación criptográfica del kernel de Linux, específicamente en el subsistema que maneja operaciones de autenticación. Este bug permite a un usuario autenticado realizar una escritura controlada de 4 bytes en la caché de página de cualquier archivo legible del sistema.

Aunque puede parecer limitado, este comportamiento abre la puerta a una escalada de privilegios completa.

¿Cómo funciona el exploit?

El ataque combina dos componentes clave del sistema Linux:

• La interfaz de sockets criptográficos AF_ALG, que permite acceder a funciones criptográficas del kernel desde el espacio de usuario.
• La llamada al sistema splice(), utilizada para mover datos entre descriptores de archivos sin copiar datos entre buffers.

Al explotar esta interacción, un atacante puede escribir datos arbitrarios en la caché de páginas del sistema en lugar de hacerlo en un buffer convencional.

Si esta escritura de 4 bytes impacta sobre un binario con permisos setuid root, puede modificar su comportamiento al ejecutarse, resultando en la obtención de privilegios de superusuario.

Origen del fallo: optimización introducida en 2017

El origen de la vulnerabilidad se remonta a una optimización introducida en el kernel de Linux en 2017 (versión 4.14). Esta modificación permitió reutilizar buffers en operaciones criptográficas "in situ", eliminando la separación estricta entre entrada y salida.

Aunque mejoró el rendimiento, esta decisión introdujo una debilidad estructural que permaneció sin detectar durante años.

Impacto: exploit 100% fiable en múltiples distribuciones

Los investigadores de Theory desarrollaron un exploit funcional en Python de apenas 732 bytes, el cual ha demostrado ser:

• 100% fiable
• Portable entre distribuciones
• Altamente explotable

El exploit fue probado con éxito en:

• Ubuntu 24.04 LTS
• Amazon Linux 2023
• RHEL 10.1
• SUSE Linux 16

Sin embargo, según los investigadores, el alcance real es mucho mayor, afectando a todas las distribuciones Linux basadas en kernels vulnerables desde 2017 hasta 2026.

Comparación con Dirty Pipe

La vulnerabilidad Copy Fail ha sido comparada con la conocida vulnerabilidad Dirty Pipe, pero presenta ventajas preocupantes desde el punto de vista del atacante:

• Mayor fiabilidad (casi 100% de éxito)
• Mayor portabilidad (funciona en más versiones de kernel)
• Menor dependencia de configuraciones específicas

A diferencia de Dirty Pipe, que requería versiones específicas del kernel, Copy Fail cubre una ventana de casi una década.

Parches y estado de mitigación

La vulnerabilidad fue reportada el 23 de marzo y corregida rápidamente el 1 de abril mediante la reversión del comportamiento criptográfico vulnerable.

Las versiones corregidas del kernel incluyen:

• 6.18.22
• 6.19.12
• 7.0

Aunque varias distribuciones ya están implementando parches, el analista de vulnerabilidades Will Dormann ha señalado la falta de avisos oficiales en algunos casos, lo que podría retrasar la adopción de medidas por parte de administradores.

Medidas de mitigación temporales

Para sistemas que aún no han recibido actualizaciones, se recomienda aplicar mitigaciones inmediatas desactivando la interfaz vulnerable:

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead

Estas acciones evitan la creación de sockets AF_ALG, bloqueando el vector de ataque.

Entornos en mayor riesgo

Los investigadores destacan que ciertos entornos deben ser priorizados en la aplicación de parches:

• Sistemas multi-inquilino
• Clústeres Kubernetes
• Infraestructura de contenedores
• Runners de CI/CD
• Plataformas SaaS en la nube

En estos escenarios, un atacante podría escalar privilegios desde un contenedor o usuario limitado hacia control total del sistema.

Una amenaza crítica que exige acción inmediata

La vulnerabilidad Copy Fail (CVE-2026-31431) representa una de las fallas más peligrosas en el kernel de Linux en los últimos años. Su facilidad de explotación, alta fiabilidad y amplio alcance la convierten en un riesgo crítico para organizaciones de todos los tamaños.

Dado que el exploit ya es público, el tiempo de respuesta es clave. Aplicar parches del kernel y medidas de mitigación debe ser una prioridad absoluta para evitar compromisos graves.

Fuente: https://www.bleepingcomputer.com/