4/5/26

Copy Fail (CVE-2026-31431): Vulnerabilidad crítica en Linux que permite escalar a root


La seguridad en sistemas Linux ha vuelto a estar en el centro de atención tras la divulgación de Copy Fail (CVE-2026-31431), una vulnerabilidad crítica del kernel que permite a usuarios locales sin privilegios obtener acceso root. Este fallo, presente durante años sin ser detectado, afecta a múltiples distribuciones modernas y representa un riesgo especialmente elevado en entornos compartidos, servidores y sistemas en la nube.

¿Qué es Copy Fail (CVE-2026-31431)?

Copy Fail es una vulnerabilidad de escalada de privilegios local en el kernel de Linux que permite a un usuario sin privilegios modificar la memoria (page cache) de archivos del sistema.

Lo más relevante es que esta modificación:

  • No altera el archivo en disco
  • Solo afecta la versión en memoria utilizada por el kernel

Esto permite manipular binarios críticos sin dejar rastros evidentes en el sistema de archivos.


Cómo funciona la vulnerabilidad

El fallo se origina en la interacción entre varios componentes del kernel:

  • El subsistema criptográfico accesible mediante AF_ALG
  • La llamada al sistema splice()
  • Un error lógico en el módulo authencesn

La combinación de estos elementos permite que un atacante escriba 4 bytes controlados en la page cache de cualquier archivo que tenga permisos de lectura.

Este comportamiento ocurre debido a un diseño que permite que páginas de memoria del sistema sean tratadas como buffers escribibles bajo ciertas condiciones, lo que no debería suceder.


Impacto real: cómo se obtiene acceso root

El ataque típico sigue estos pasos:

  1. El atacante selecciona un binario con permisos SUID (por ejemplo, herramientas del sistema)
  2. Modifica progresivamente su contenido en memoria mediante escrituras controladas
  3. Inserta código malicioso en la versión en memoria del binario
  4. Ejecuta el binario modificado

Dado que el binario se ejecuta con privilegios elevados, el código inyectado se ejecuta como root.


Por qué esta vulnerabilidad es especialmente peligrosa

Copy Fail destaca frente a otras vulnerabilidades por varias razones:

  • No requiere condiciones de carrera ni timing preciso
  • Es altamente portable entre distribuciones
  • El exploit es pequeño y fácil de ejecutar
  • No deja evidencias en disco
  • Permite escape de contenedores
  • Puede afectar entornos cloud y Kubernetes

Estas características la convierten en una amenaza significativa para infraestructuras modernas.


Sistemas afectados

Se ha confirmado que la vulnerabilidad afecta a múltiples distribuciones, incluyendo:

  • Ubuntu 24.04 LTS
  • Amazon Linux 2023
  • Red Hat Enterprise Linux 10.1
  • SUSE Linux Enterprise Server 16

Dado que el origen del problema se remonta a cambios introducidos en 2017, muchas otras distribuciones también podrían estar afectadas.

Fuente - Mas info