«Error de copia» – Vulnerabilidad de escalada de privilegios locales en Linux (CVE-2026-31431)

Resumen

Copy Fail es una vulnerabilidad de escalada de privilegios local en Linux rastreada como CVE-2026-31431 que permite a un usuario sin privilegios obtener acceso de root al corromper la caché de página de un binario setuid a través del abuso de AF_ALG and splice. El fallo ha estado presente en los núcleos de Linux distribuidos desde 2017 y afecta a todas las distribuciones principales. La explotación solo requiere ejecución de código local y no depende del acceso a la red. En términos prácticos, el error también se puede usar para salir de contenedores y comprometer entornos compartidos o impulsados por CI.

Investigación

Investigadores de Xint Code identificaron un proof-of-concept de Python de 732 bytes que explota un fallo lógico en el subsistema de criptografía de Linux, específicamente dentro de authencesn, y abusa de AF_ALG sockets para escribir datos controlados por el atacante en una página de caché de página. El exploit altera el binario setuid de destino en memoria en lugar de en disco, lo que permite al atacante obtener un shell root real cuando se ejecuta el binario. El proof-of-concept público se probó con éxito en núcleos usados en entornos de Ubuntu, Amazon Linux, RHEL y SUSE.

Mitigación

La solución principal es aplicar el parche del núcleo que revierte la optimización en el lugar de 2017 de algif_aead introducida por el commit a664bf3d603d. Los proveedores de Linux ya están lanzando versiones parcheadas. Como medida de protección provisional, los administradores pueden listar en la lista negra el algif_aead módulo a través de modprobe y eliminarlo del núcleo en ejecución. Para cargas de trabajo no confiables, bloquear AF_ALG la creación de sockets con seccomp proporciona una capa adicional de protección.

Respuesta

Los equipos de seguridad deben verificar inmediatamente las versiones del núcleo y el estado de los parches en todos los sistemas Linux. Los paquetes de núcleo actualizados o las retrocompatibilidades de proveedores deben implementarse lo antes posible. Donde no se pueda parchear de inmediato, los defensores deben listar en la lista negra el algif_aead módulo y aplicar reglas de seccomp que bloqueen el uso de AF_ALG sockets. La monitorización también debe cubrir cambios sospechosos que involucren binarios setuid y patrones de ejecución que se asemejen a copy_fail_exp.py o comportamientos de explotación relacionados.