Arg-Wireless - Foro de Argentina

La vulnerabilidad, CVE-2026-31431 (https://www.cve.org/CVERecord?id=CVE-2026-31431), bautizada Copy Fail (https://copy.fail/), es un pequeño script de 732 bytes que puede brindarle a un usuario normal acceso completo a root. Sin condiciones de carrera. Sin trucos de sincronización. No hay que bloquear el sistema diez veces con la esperanza de que uno funcione. Simplemente funciona. Todas las veces.

CVE-2026-31431 es una vulnerabilidad crítica de Escalamiento de Privilegios Locales (LPE) que rompe algunas suposiciones fundamentales de confianza en el kernel de Linux. Obliga a afrontar la realidad de que incluso operaciones aparentemente inocuas pueden ocultar profundas fallas de seguridad.


El alcance de Copy Fail (PoC) es muy amplio: afecta prácticamente a todas las distribuciones principales de Linux con kernels creados desde 2017 hasta el lanzamiento del parche.

No se trata de condiciones de carrera, trucos de sincronización ni de una distribución específica. Simplemente funciona. Afecta básicamente a todas las distro: Ubuntu (https://ubuntu.com/security/CVE-2026-31431), Debian (https://security-tracker.debian.org/tracker/CVE-2026-31431), Amazon Linux (https://explore.alas.aws.amazon.com/CVE-2026-31431.html), RHEL (https://access.redhat.com/security/cve/cve-2026-31431), SUSE (https://www.suse.com/security/cve/CVE-2026-31431.html). Mismo script, mismo resultado: root. Su divulgación pública fue seguida rápidamente por esfuerzos coordinados de parcheo en toda la industria, un testimonio de su grave impacto.


Lo que realmente preocupa es cómo funciona: el atacante no cambia archivos en el disco, sino que corrompe silenciosamente el caché de la página, que es lo que utiliza el sistema cuando lee y ejecuta archivos. Entonces el archivo se ve perfectamente y las sumas de verificación coinciden. Nada aparece modificado. Pero en la memoria ha sido alterado.

El problema es que el kernel confía en esa cacha, en esa versión en memoria. Entonces si se toma algo como /usr/bin/su, que se ejecuta con privilegios elevados, se inyectan algunos bytes en su copia en caché y se ejecuta... se obtiene root. El disco nunca cambia, por lo que sus herramientas de detección habituales simplemente no detectan nada. Es decir que el ataque también es sigiloso de una manera cruel.

Y luego está el ángulo del contenedor, que podría ser la parte más inquietante de todas. Como la caché de la página se comparte, esto no es sólo un problema local. En la configuración correcta, este ataque puede saltar a través de contenedores. Eso significa que un proceso con pocos privilegios dentro de un contenedor podría afectar al host o a las cargas de trabajo vecinas. Si está ejecutando una infraestructura multiinquilino, eso debería hacer que se le revuelva un poco el estómago.

La solución ya se está implementando y básicamente elimina la optimización que lo hizo posible. Efectivamente, en ajuste de rendimiento de hace años termina abriendo la puerta a algo grave.

Este no es uno de los errores que "tal vez se puedan explotar en un laboratorio". Esto es todo lo contrario. Es simple, portátil y confiable. Esa es una mala combinación.

Mitigación

En el caso de ramas de Debian, esta mitigación impide que el kernel cargue el componente vulnerable. Es una forma efectiva de "bloquear" un driver o componente del kernel sin borrarlo.

# echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
# rmmod algif_aead 2 > /dev/null || true
# smod | grep algif
Verificar con:
modprobe -n -v algif_aead
El resultado esperado debería incluir: install /bin/false

Si desea utilizar esa solución sugerida (deshabilitar el módulo del kernel `algif_aead` con una configuración de modprobe) y no desea ejecutar la shell para obtener root real, sino solo verificar si el módulo se puede cargar, aquí hay una versión legible de sus primeras líneas:

$ python3 -c 'import socket;
  s = socket.socket(socket.AF_ALG, socket.SOCK_SEQPACKET, 0);
  s.bind(("aead","authencesn(hmac(sha256),cbc(aes))"));
  print("algif_aead successfully loaded, mitigation not effective; remove it with: # rmmod algif_aead")'
Fuente: Xint-io (https://xint.io/blog/copy-fail-linux-distributions) | Segu-Info (https://blog.segu-info.com.ar/2026/04/copy-fail-vulnerabilidad-critica.html) | Microsoft (https://www.microsoft.com/en-us/security/blog/2026/05/01/cve-2026-31431-copy-fail-vulnerability-enables-linux-root-privilege-escalation/) | copy-fail-CVE-2026-31431 (https://github.com/theori-io/copy-fail-CVE-2026-31431)