Una nueva y peligrosa vulnerabilidad en el kernel de Linux, identificada como CVE-2026-31431 y bautizada como 'CopyFail', ha desatado una alarma generalizada en la comunidad de ciberseguridad global. Este fallo crítico permite a atacantes obtener acceso de 'root' o administrador en prácticamente todas las versiones de Linux, afectando a un número incalculable de servidores, centros de datos y dispositivos personales. La gravedad de 'CopyFail' radica en la disponibilidad pública de un código de explotación funcional y en la lentitud de las distribuciones para integrar los parches de seguridad ya liberados, según informa Ars Technica. La revelación de esta brecha de seguridad pone de manifiesto la constante carrera entre desarrolladores y actores maliciosos en el ecosistema digital.
La Brecha Temporal que Expone la Infraestructura
La vulnerabilidad y su código de explotación fueron revelados públicamente el pasado miércoles por investigadores de la firma de seguridad Theori, cinco semanas después de haberla comunicado de forma privada al equipo de seguridad del kernel de Linux. Aunque el equipo de desarrollo del kernel ha lanzado parches específicos para las versiones 7.0, 6.19.12, 6.18.12, 6.12.85, 6.6.137, 6.1.170, 5.15.204 y 5.10.254, la mayoría de las distribuciones de Linux aún no habían incorporado estas correcciones en el momento de la divulgación del exploit. Esta brecha temporal entre la liberación del parche y su implementación generalizada deja a millones de sistemas expuestos a ataques inminentes. 'CopyFail' es una vulnerabilidad de escalada de privilegios local (LPE), lo que significa que un atacante que ya ha logrado ejecutar código en una máquina, incluso con los permisos más básicos de un usuario no privilegiado, puede elevarse a sí mismo a 'root'. El investigador Jorijn Schrijvershof explicó la magnitud de esto: 'Desde ahí, pueden leer cada archivo, instalar puertas traseras, monitorear cada proceso y pivotar a otros sistemas'.
Lo que hace a 'CopyFail' particularmente alarmante es que el código de explotación, liberado junto con la vulnerabilidad, es un único script de Python que funciona de manera fiable y sin modificaciones en diversas distribuciones, incluyendo Ubuntu 22.04, Amazon Linux 2023, SUSE 15.6 y Debian 12. La falla de 'CopyFail' se origina en un error de lógica 'directa' dentro de la API criptográfica del kernel. A diferencia de muchos exploits que dependen de condiciones de carrera o corrupción de memoria, y que a menudo fallan o requieren ajustes específicos para diferentes versiones del kernel o distribuciones, este fallo lógico garantiza una fiabilidad casi total. 'La fiabilidad no es probabilística, y el mismo script funciona en todas las distribuciones', señalaron investigadores de Bugcrowd. El nombre 'CopyFail' proviene del proceso de plantilla AEAD de autenticación, que no copia los datos cuando debería, sino que utiliza el búfer de destino del llamante como un 'scratch pad', sobrescribiendo 4 bytes más allá de la región de salida legítima y sin restaurarlos, lo que permite la manipulación de privilegios.
El Ecosistema Compartido bajo Amenaza
El impacto de esta vulnerabilidad es vasto, especialmente en infraestructuras compartidas. Un atacante puede, entre otras cosas, comprometer sistemas multi-inquilino, escapar de contenedores basados en Kubernetes u otros frameworks, y crear solicitudes de extracción maliciosas que inyecten el código de explotación a través de flujos de trabajo CI/CD. El escenario de amenaza realista podría implicar la explotación de una vulnerabilidad conocida en un plugin de WordPress para obtener acceso de shell como un usuario de bajo privilegio (por ejemplo, 'www-data'), y luego ejecutar el 'Proof of Concept' (PoC) de 'CopyFail' para obtener acceso 'root' al host. Esta escalada de privilegios comprometería así a todos los demás inquilinos en el mismo sistema, demostrando la capacidad de la vulnerabilidad para colapsar las barreras de seguridad entre entornos virtualizados y compartidos.
Expertos en seguridad han calificado a 'CopyFail' como una de las 'peores vulnerabilidades 'make-me-root' en el kernel en los últimos tiempos', comparándola con incidentes históricos como 'Dirty Pipe' en 2022 y 'Dirty Cow' en 2016, ambos activamente explotados en su momento. La naturaleza directa y la alta fiabilidad de su explotación la sitúan en un nivel de riesgo elevado. La urgencia de aplicar los parches disponibles es máxima para mitigar el riesgo de compromisos severos en la infraestructura digital global. Desde Punto Fijo, instamos a los administradores de sistemas y usuarios de Linux a actualizar sus kernels de inmediato para protegerse contra esta amenaza crítica y salvaguardar la integridad de sus datos y operaciones.