Saltar al contenido
Noticias

Nueva Vulnerabilidad Copy Fail en Linux Permite Acceso Root y Afecta Distribuciones Desde 2017

Algunos investigadores de ciberseguridad han revelado los detalles de la vulnerabilidad copy fail en Linux. Esta vulnerabilidad permite a un usuario local sin privilegios obtener acceso root completo en el sistema, afectando a una amplia gama de sistemas operativos.

vulnerabilidad copy fail en linux

La falla, registrada como CVE-2026-31431, tiene una puntuación CVSS de 7.8, lo que la clasifica como de alta severidad. Esta vulnerabilidad de escalada de privilegios locales (LPE) presenta un riesgo significativo, ya que permite que un atacante se convierta en superusuario tras obtener acceso a una cuenta de usuario de bajo nivel. Esto puede ocurrir ya sea en servidores web compartidos, entornos CI/CD o estaciones de trabajo individuales.

Índice

Origen y Alcance: Nueve Años en el Código

El origen de la vulnerabilidad Copy Fail en Linux se remonta a una optimización en el código del kernel introducida en agosto de 2017. En esencia, se trata de un error lógico en el subsistema criptográfico del kernel. Se da específicamente en el módulo algif_aead y la plantilla authencesn, que permaneció oculto durante casi una década.

Lo que hace especialmente peligrosa a esta vulnerabilidad es su naturaleza de «línea recta». Esto significa que no requiere condiciones de carrera ni ajustes para diferentes versiones del kernel. Su explotación es altamente confiable y funciona de manera idéntica en una gran variedad de distribuciones.

Mecanismo de Explotación y Distribuciones Afectadas por la vulnerabilidad copy fail en Linux

La falla permite escribir en la caché de página del kernel, un área de memoria temporal. Al alterar binarios setuid como /usr/bin/su directamente en esta caché, un atacante puede ejecutar código malicioso con los máximos privilegios del sistema. Los investigadores ya han publicado un script de prueba de concepto (PoC) de tan solo 732 bytes que logra este objetivo.

Esta vulnerabilidad afecta prácticamente a todas las distribuciones principales de Linux lanzadas desde 2017. Esto incluye, pero no se limita a:

  • Ubuntu (versiones desde 24.04 LTS en adelante)
  • Red Hat Enterprise Linux (RHEL)
  • SUSE Linux Enterprise Server y openSUSE
  • Amazon Linux 2023 y versiones anteriores
  • Debian, Fedora, Arch Linux y otras

Implicaciones de Seguridad y Comparativas

El verdadero peligro de Copy Fail en Linux radica en cuatro características clave que rara vez se dan juntas:

  1. Portabilidad. Funciona en todas las distribuciones vulnerables sin cambios.
  2. Ligereza. Su código de explotación es extremadamente pequeño.
  3. Sigilo. Al modificar la caché de página en lugar del archivo en disco, la huella es mínima.
  4. Impacto entre contenedores. La caché de página es compartida por todo el sistema, por lo que un contenedor comprometido puede tomar el control del nodo host y de otros contenedores.

Esta vulnerabilidad se puede considerar una «hermana» de fallos anteriores como Dirty Pipe (CVE-2022-0847) e incluso Dirty COW. Sin embargo, se diferencia de ellas por no requerir condiciones de carrera, lo que la hace mucho más sencilla y fiable de explotar. De manera aislada no es explotable de forma remota. No obstante, un atacante puede combinarla con otros vectores de ataque, como una ejecución remota de código (RCE) en una aplicación web. De ese modo, puede tomar el control total de un servidor, lo que representa una seria amenaza.

Mitigación y Solución: Parchea tu Sistema

La única medida efectiva para protegerte contra la vulnerabilidad Copy Fail en Linux es actualizar tu kernel a una versión parcheada. El commit a664bf3d603d en el kernel principal revierte la optimización defectuosa de 2017 que causó el problema.

Los equipos de seguridad de las principales distribuciones ya reaccionaron publicando parches de emergencia. Por lo tanto, se recomienda aplicar las actualizaciones de seguridad disponibles para tu sistema operativo de inmediato. Esperar podría dejar tus sistemas críticos expuestos a un ataque que es de conocimiento público. Considera que un código de explotación ya está disponible.

Acciones inmediatas

Verifica si está habilitado el módulo algif_aead en tu sistema:

sudo lsmod | algif_aead

Si el comando muestra una línea (ej. algif_aead seguido de números), tu sistema tiene el módulo cargado y es vulnerable.

Si no muestra nada, el módulo no está cargado. Sin embargo, se recomienda actualizar el kernel para evitar futuras cargas o variantes.

¡Atención! La ausencia del módulo no garantiza seguridad total, ya que puede cargarse dinámicamente bajo ciertas condiciones. La única mitigación completa es actualizar el kernel.

¿Y cómo actualizas? Si usas una distribución basada en Debian, ejecuta 

sudo apt upgrade -y 
sudo apt upgrade linux-image-$(uname -r) linux-modules-$(uname -r)

Si tu distribución se basa en RedHat usa

sudo yum update kernel
sudo yum upgrade

Si es un sistema más moderno que no usa yum, sino dnf, ejecuta

sudo dnf update kernel
sudo dnf upgrade # Opcional: actualiza todo el sistema

Reinicia el sistema para aplicar el kernel corregido.

sudo reboot

Búscanos si requieres apoyo para proteger tu servidor de esta vulnerabilidad, con gusto te apoyaremos. Podemos encargarnos de la administración de tus servidores.