Explotación publicada públicamente El código para una vulnerabilidad efectivamente no parcheada que brinda acceso raíz a prácticamente todas las versiones de Linux está haciendo sonar las alarmas mientras los defensores luchan por evitar compromisos graves dentro de los centros de datos y en los dispositivos personales.
La vulnerabilidad y el código de explotación que la explota fueron lanzado el miércoles por la noche por investigadores de la firma de seguridad Theori, cinco semanas después de revelarlo en privado al equipo de seguridad del kernel de Linux. El equipo parchó la vulnerabilidad en versiones. 7.0, 6.19.12, 6.18.126.12.85, 6.6.137, 6.1.170, 5.15.204 y 5.10.254) pero pocas de las distribuciones de Linux habían incorporado esas correcciones en el momento en que se lanzó el exploit.
Un único script para hackearlos a todos
La falla crítica, identificada como CVE-2026-31431 y llamada CopyFail, es una escalada de privilegios local, una clase de vulnerabilidad que permite a los usuarios sin privilegios elevarse a administradores. CopyFail es particularmente grave porque puede explotarse con una sola pieza de código de explotación (publicado en la divulgación del miércoles) que funciona en todas las distribuciones vulnerables sin modificaciones. Con eso, un atacante puede, entre otras cosas, piratear sistemas multiinquilino, salir de contenedores basados en Kubernetes u otros marcos y crear solicitudes de extracción maliciosas que canalicen el código de explotación a través de CI/CD flujos de trabajo.
«La ‘escalada de privilegios locales’ suena seca, así que permítanme analizarla», investigador Jorijn Schrijvershof escribió el jueves. «Significa: un atacante que ya tiene alguna forma de ejecutar código en la máquina, incluso siendo el usuario más aburrido y sin privilegios, puede promoverse a root. Desde allí puede leer cada archivo, instalar puertas traseras, observar cada proceso y pasar a otros sistemas».
Schrijvershof agregó que el mismo script de Python que lanzó Theori funciona de manera confiable para Ubuntu 22.04, Amazon Linux 2023, SUSE 15.6 y Debian 12. El investigador continuó:
¿Por qué es importante eso en la infraestructura compartida? Porque lo “local” abarca mucho terreno en 2026: cada contenedor en un nodo Kubernetes compartido, cada inquilino en una caja de alojamiento compartido, cada trabajo de CI/CD que ejecuta código de solicitud de extracción que no es de confianza, cada instancia de WSL2 en una computadora portátil con Windows, cada agente de IA en contenedores con acceso de shell. Todos comparten un kernel de Linux con sus vecinos. Un LPE de kernel colapsa ese límite.
La cadena de amenazas realista se ve así. Un atacante aprovecha una vulnerabilidad conocida de un complemento de WordPress y obtiene acceso al shell como www-data. Ejecutan el PoC copy.fail. Ahora son root en el host. De repente, todos los demás inquilinos son accesibles, en la forma en que caminé en este truco post-mortem. La vulnerabilidad no lleva al atacante a la caja; cambia lo que sucede en los próximos diez segundos después de que aterrizan allí.
La vulnerabilidad surge de una falla lógica de «línea recta» en la API criptográfica del kernel. Muchos exploits explotan condiciones de carrera y las fallas de corrupción de memoria no se solucionan consistentemente en todas las versiones o distribuciones del kernel y, a veces, incluso en la misma máquina. Debido a que el código publicado para CopyFail explota una falla lógica, “la confiabilidad no es probabilística y el mismo script funciona en todas las distribuciones, investigadores de Bugcrowd escribió. «Sin ventana de carrera, sin compensación del kernel».
CopyFail recibe su nombre porque el proceso de plantilla AEAD de autenticación (utilizado para números de secuencia extendida IPsec) en realidad no copia datos cuando debería. En cambio, «utiliza el búfer de destino de la persona que llama como un bloc de notas, escribe 4 bytes más allá de la región de salida legítima y nunca los restaura», dijo Theori. «La ‘copia’ de los bytes de AAD ESN ‘no logra’ permanecer dentro del búfer de destino».
La peor vulnerabilidad de Linux en años
Otros expertos en seguridad se hicieron eco de la perspectiva de que CopyFail representa una amenaza grave, con una dicho son las «peores vulnerabilidades de root en el kernel en los últimos tiempos».
La vulnerabilidad de Linux más reciente fue Tubería sucia a partir de 2022 y vaca sucia en 2016. Ambas vulnerabilidades fueron explotado activamente en la naturaleza.
