La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el viernes una falla de seguridad recientemente revelada que afecta a varias distribuciones de Linux a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa en la naturaleza.
La vulnerabilidad, identificada como CVE-2026-31431 (puntuación CVSS: 7,8), es un caso de falla de escalada de privilegios locales (LPE) que podría permitir que un usuario local sin privilegios obtenga root. El defecto de nueve años también se rastrea como Copia fallida por Theori y Xint. Las correcciones están disponibles en las versiones 6.18.22, 6.19.12 y 7.0 del kernel de Linux.
«Linux Kernel contiene una vulnerabilidad de transferencia de recursos incorrecta entre esferas que podría permitir una escalada de privilegios», dijo CISA en un aviso.
En un artículo publicado a principios de esta semana, los investigadores dijeron que Copy Fail es el resultado de un error lógico en la plantilla criptográfica de autenticación del kernel de Linux que permite a un atacante activar de manera confiable una escalada de privilegios de manera trivial mediante un exploit de 732 bytes basado en Python. Se introdujo a través de tres cambios separados, individualmente inofensivos, en el kernel de Linux realizados en 2011, 2015 y 2017.
La vulnerabilidad de seguridad de alta gravedad afecta a las distribuciones de Linux enviadas desde 2017 y permite a un usuario local sin privilegios obtener acceso a nivel de raíz al corromper la página caché en memoria del kernel de cualquier archivo legible, incluidos los binarios setuid. Esta corrupción podría ser realizada por usuarios sin privilegios y podría resultar en la ejecución de código con permisos de root.
«Debido a que el caché de la página representa la versión en memoria de los ejecutables, modificarlo efectivamente altera los archivos binarios en el momento de la ejecución sin tocar el disco», dijo Wiz, propiedad de Google. «Esto permite a los atacantes inyectar código en binarios privilegiados (por ejemplo, /usr/bin/su) y así obtener privilegios de root».
La prevalencia de Linux en entornos de nube significa que la vulnerabilidad tiene un impacto significativo. Kaspersky, en su análisis de la falla, dijo que Copy Fail representa un riesgo grave para los entornos en contenedores, ya que Docker, LXC y Kubernetes «otorgan a los procesos dentro de un contenedor acceso al subsistema AF_ALG si el módulo algif_aead está cargado en el kernel del host» de forma predeterminada.
«Copy Fail plantea el riesgo de romper el aislamiento del contenedor y obtener control sobre la máquina física», dijo el proveedor de seguridad ruso. «Al mismo tiempo, la explotación no requiere el uso de técnicas complejas, como condiciones de carrera o adivinación de direcciones de memoria, lo que reduce la barrera de entrada para un atacante potencial».
«Detectar el ataque es difícil porque el exploit utiliza sólo llamadas legítimas al sistema, que son difíciles de distinguir del comportamiento normal de la aplicación».
A la urgencia se suma la disponibilidad de una prueba de concepto (PoC) de exploit completamente funcional, y Kaspersky afirma que ya se han detectado versiones Go y Rust de la implementación original de Python en repositorios de código abierto.
CISA no compartió ningún detalle sobre cómo se está explotando la vulnerabilidad en la naturaleza. Sin embargo, el equipo de investigación de seguridad de Microsoft Defender dijo que está «viendo actividad de prueba preliminar que podría resultar muy probablemente en una mayor explotación de los actores de amenazas en los próximos días».
«El vector de ataque es local (AV:L) y requiere privilegios bajos sin interacción del usuario, lo que significa que cualquier usuario sin privilegios en un sistema vulnerable puede intentar la explotación», añadió. «Críticamente, esta vulnerabilidad no se puede explotar de forma remota de forma aislada, pero adquiere un gran impacto cuando se encadena con un vector de acceso inicial como el acceso Secure Shell (SSH), la ejecución de trabajos de CI maliciosos o puntos de apoyo de contenedores».
El gigante tecnológico también ha detallado una posible ruta que los atacantes podrían tomar para explotar la vulnerabilidad:
- Realice un reconocimiento para identificar un host o contenedor de Linux que ejecute una versión del kernel susceptible de sufrir un error de copia.
- Prepare un pequeño activador de Python para usarlo en el punto final.
- Ejecute el exploit desde un contexto con pocos privilegios, ya sea como un usuario normal de Linux en un host o como un proceso contenedor comprometido sin capacidades especiales.
- El exploit realiza una sobrescritura controlada de 4 bytes en la caché de la página del kernel, lo que daña los datos confidenciales administrados por el kernel.
- El atacante escala su proceso a UID 0 y obtiene privilegios de root completos.
Se ha recomendado a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones antes del 15 de mayo de 2026, ya que las distribuciones de Linux afectadas han impulsado las actualizaciones. Si la aplicación de parches no es una opción inmediata, se recomienda a las organizaciones que deshabiliten la función afectada, implementen el aislamiento de la red y apliquen controles de acceso.