La vulnerabilidad Linux kernel denominada ‘Copy Fail’ ha sido incluida por la Agencia de Seguridad Cibernética e Infraestructura de Estados Unidos (CISA) en su catálogo de vulnerabilidades explotadas activamente. Esta falla, registrada como CVE-2026-31431, permite a usuarios locales sin privilegios elevar sus permisos a root, facilitando el control completo de sistemas afectados, principalmente varias distribuciones populares de Linux.
El problema radica en la interfaz criptográfica algif_aead del kernel de Linux. Según los investigadores de seguridad de Theori, que publicaron el fallo junto con un exploit funcional y fiable, el fallo es capaz de funcionar sin modificaciones en múltiples distribuciones como Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 y SUSE 16. Este nivel de compatibilidad facilita su explotación por parte de atacantes que dispongan de acceso local.
Cómo funciona la vulnerabilidad Linux kernel ‘Copy Fail’
A nivel técnico, la vulnerabilidad permite a un atacante escribir datos controlados en la caché de páginas del kernel, una estructura de memoria crítica. Esto posibilita la escalada de privilegios desde un usuario estándar a root, comprometiendo la integridad y seguridad total del sistema afectado.
Si bien requiere acceso local, esta limitación no reduce el peligro, ya que cualquier usuario con permisos básicos o procesos comprometidos puede aprovecharla para obtener el máximo nivel de control.
Divulgación y problemas de coordinación
Una nota relevante es el modo en que se divulgó la falla: sin coordinación previa con los mantenedores de las distribuciones Linux. Normalmente, en procesos responsables de publicación, los proveedores reciben avisos anticipados para preparar y distribuir parches antes de hacer públicos los detalles técnicos. En este caso, algunos mantenedores han confirmado que no recibieron tal aviso, lo que ha provocado que ciertas versiones, especialmente ramas de soporte a largo plazo más antiguas, carezcan de actualizaciones inmediatas.
La falta de parches obliga a implementar mitigaciones temporales, como desactivar los módulos criptográficos afectados, lo que puede limitar la funcionalidad o afectar rendimiento.
Respuesta y recomendaciones de seguridad
La inclusión rápida por parte de CISA en su lista de vulnerabilidades explotadas indica el alto riesgo y urgencia que representa esta vulnerabilidad Linux kernel. La agencia ha dado un plazo de dos semanas para que las agencias federales de EE. UU. apliquen los parches, siguiendo la Directiva Operativa Vinculante 22-01, y recomienda a todas las organizaciones acelerar las tareas de actualización.
Los desarrolladores de las distribuciones afectadas ya han comenzado a distribuir los parches que corrigen el error, pero dada la disponibilidad pública del exploit, los sistemas con kernels antiguos o no actualizados permanecen en riesgo.
Es fundamental que administradores y usuarios revisen las actualizaciones de sus distribuciones y apliquen los parches lo antes posible para mitigar la amenaza.
En resumen, la vulnerabilidad ‘Copy Fail’ representa una amenaza directa para la seguridad de sistemas Linux en entornos locales. La naturaleza fiable y multiplataforma del exploit enfatiza la necesidad de estar al día con las actualizaciones del kernel y cuestiona los procesos actuales de divulgación responsable, que en este caso han comprimido el margen de reacción de los responsables de seguridad.
