🚨 Copy Fail (CVE‑2026‑31431): La vulnerabilidad crítica que afecta a Linux desde 2017



El ecosistema Linux vuelve a estar en alerta. El 30 de abril de 2026 se ha divulgado públicamente la vulnerabilidad CVE‑2026‑31431, bautizada como “Copy Fail” por el equipo de investigación de Theori. Se trata de un fallo lógico en el kernel de Linux que lleva presente desde 2017 y que permite a un usuario sin privilegios escalar a root de forma fiable, silenciosa y sin dejar rastro en disco.

Su impacto es especialmente grave en servidores Linux, entornos Kubernetes, pipelines CI/CD y plataformas cloud donde múltiples cargas comparten el mismo kernel.

🔍 ¿Qué es Copy Fail (CVE‑2026‑31431)?

Copy Fail es una vulnerabilidad en el subsistema criptográfico del kernel, concretamente en el módulo algif_aead. En 2017 se introdujo una optimización “in‑place” que, sin intención, dejó accesibles ciertas páginas de caché a procesos sin privilegios.

Combinando:

  • AF_ALG

  • splice()

  • Operaciones AEAD

…un atacante puede escribir 4 bytes controlados en la caché de cualquier archivo legible del sistema. Esto incluye binarios setuid, lo que permite elevar privilegios hasta root.

Lo más preocupante:

  • No requiere condiciones de carrera

  • No depende de offsets específicos del kernel

  • Funciona en múltiples distribuciones sin modificaciones

  • No deja rastro forense en disco

🧪 Prueba de concepto (PoC)

Los investigadores han publicado un PoC extremadamente pequeño: un script Python de 732 bytes capaz de obtener root en segundos.

Ha sido verificado en:

  • Ubuntu 24.04 LTS

  • Amazon Linux 2023

  • RHEL 10.1

  • SUSE 16

  • Debian

Esto confirma que el fallo es transversal y afecta a la mayoría de entornos Linux modernos.

⚠️ ¿Por qué es tan peligrosa esta vulnerabilidad?

Copy Fail no es solo una escalada local de privilegios. Su verdadero impacto aparece cuando se combina con otros vectores:

Cadena de ataque típica:

  1. RCE en un servicio web o contenedor sin privilegios

  2. Copy Fail para escalar a root

  3. Control total del host

En Kubernetes, donde los contenedores comparten kernel, un atacante podría comprometer todos los tenants del nodo. La caché de páginas es global a nivel de host, no por contenedor.

🛡️ Mitigación inmediata (hasta que lleguen los parches)

Mientras las distribuciones publican actualizaciones oficiales, se recomienda aplicar medidas temporales:

1. Deshabilitar el módulo vulnerable

Código
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf

2. Verificar exposición

Código
lsof | grep AF_ALG

3. Priorizar nodos críticos

  • Kubernetes con cargas no confiables

  • Runners CI/CD

  • Servidores expuestos a internet

4. Aplicar parches en cuanto estén disponibles

Debian, Ubuntu y SUSE ya han anunciado actualizaciones en camino. CERT‑EU ha emitido un aviso urgente.

🏢 ¿Tu infraestructura Linux está expuesta?

Si tu empresa utiliza Linux, Kubernetes o pipelines automatizados, es importante evaluar el riesgo cuanto antes. Una vulnerabilidad como Copy Fail puede convertirse en un punto de entrada crítico si no se mitiga a tiempo.

Soy Manuel Marco Sánchez, arquitecto de ciberseguridad con más de 15 años de experiencia en auditorías, hardening, pentesting y formación técnica.

  • 🌐 mmarcoseguridad.com

  • 📲 WhatsApp: +34 656 33 93 55

  • 📅 Consulta gratuita: calendly.com/mmarco-seguridad/30min

Comentarios

Publicar un comentario

Entradas populares de este blog

❤️ “Mentalidad ganadora para lograr libertad financiera”

 ❤️ La libertad financiera no es un sueño, es una mentalidad . Deja de trabajar solo por dinero y empieza a crear activos digitales que trabajen por ti. 🔑 Todo empieza con tu forma de pensar. 👉 Sígueme para aprender a combinar seguridad, negocio y libertad. #MentalidadEmprendedora #LibertadFinanciera #NegociosDigitales #Motivación #CrecimientoPersonal #MMarcoSeguridad
Leer más

💻 ¿Tu PC no admite #Windows11? No tienes que cambiarlo.

💻 ¿Tu PC no admite #Windows11? No tienes que cambiarlo. Con Windows 10 IoT Enterprise LTSC puedes mantener tu equipo seguro, rápido y estable hasta 2031. ✔️ Soporte extendido ✔️ Sin actualizaciones forzadas ✔️ Cumple con #RGPD 📥 Descarga técnica: https://archive.org/details/en-us_windows_10_iot_enterprise_ltsc_2021_x64_dvd_257ad90f_202301 💼 Configura tu entorno con ayuda profesional: 🌐 mmarcoseguridad.com | 🌐 ciberseguridadonline24h.es
Leer más

MAPAS DE CIBERATAQUES ACTUALIZADOS: UNA REPRESENTACIÓN VISUAL DE LA ESCALA Y FRECUENCIA GLOBAL

   MAPAS DE CIBERATAQUES ACTUALIZADOS: UNA REPRESENTACIÓN VISUAL DE LA ESCALA Y FRECUENCIA GLOBAL La mayoría de los mapas actuales de ataques/amenazas cibernéticas (también conocidos como mapas "pewpew") se comercializan incorrectamente como "mapas en vivo". No muestran datos de ataques en tiempo real, sino que proporcionan registros de ataques anteriores. Sin embargo, ofrecen una comprensión visual de la escala y la frecuencia de los ciberataques globales. ❗Atribución/Anonimización: Es fundamental recordar que el origen no es el mismo que el origen de los ataques. Si bien estos mapas identifican países específicos que lanzan ataques contra otros, eso no significa que la fuente real del ataque sea idéntica a la ubicación del atacante. 🔘 Mapa de amenazas en vivo de Radware https://lnkd.in/d2DXyKbJ 🔘 Mapa en tiempo real de Kaspersky Cyberthreat https://lnkd.in/d676R7Nd 🔘 Estadísticas de Kaspersky Securelist https://lnkd.in/d3gNKBuG 🔘 Mapa de amenazas cibernética...
Leer más