Explotación publicada públicamente El código para una vulnerabilidad efectivamente no parcheada que brinda acceso raíz a prácticamente todas las versiones de Linux está haciendo sonar las alarmas mientras los defensores luchan por evitar compromisos graves dentro de los centros de datos y en los dispositivos personales.
La vulnerabilidad y el código de explotación que la explota fueron publicados el miércoles por la noche por investigadores de la firma de seguridad Theori, cinco semanas después de revelarlo en privado al equipo de seguridad del kernel de Linux. El equipo parchó la vulnerabilidad en las versiones 7.0, 6.19.12, 6.18.12, 6.12.85, 6.6.137, 6.1.170, 5.15.204 y 5.10.254), pero pocas de las distribuciones de Linux habían incorporado esas correcciones en el momento en que se lanzó el exploit.
Un único script para hackearlos a todos
La falla crítica, identificada como CVE-2026-31431 y llamada CopyFail, es una escalada de privilegios local, una clase de vulnerabilidad que permite a los usuarios sin privilegios elevarse a administradores. CopyFail es particularmente grave porque puede explotarse con una sola pieza de código de explotación (publicado en la divulgación del miércoles) que funciona en todas las distribuciones vulnerables sin modificaciones. Con eso, un atacante puede, entre otras cosas, piratear sistemas multiinquilino, salir de contenedores basados en Kubernetes u otros marcos y crear solicitudes de extracción maliciosas que canalicen el código de explotación a través de flujos de trabajo de CI/CD.
«‘Escalada de privilegios locales’ suena seco, así que permítanme analizarlo», escribió el jueves el investigador Jorijn Schrijvershof. «Significa: un atacante que ya tiene alguna forma de ejecutar código en la máquina, incluso siendo el usuario más aburrido y sin privilegios, puede promoverse a root. Desde allí puede leer cada archivo, instalar puertas traseras, observar cada proceso y pasar a otros sistemas».
Schrijvershof agregó que el mismo script de Python que lanzó Theori funciona de manera confiable para Ubuntu 22.04, Amazon Linux 2023, SUSE 15.6 y Debian 12. El investigador continuó:
¿Por qué es importante eso en la infraestructura compartida? Porque lo “local” abarca mucho terreno en 2026: cada contenedor en un nodo Kubernetes compartido, cada inquilino en una caja de alojamiento compartido, cada trabajo de CI/CD que ejecuta código de solicitud de extracción que no es de confianza, cada instancia de WSL2 en una computadora portátil con Windows, cada agente de IA en contenedores con acceso de shell. Todos comparten un kernel de Linux con sus vecinos. Un LPE de núcleo colapsa ese límite.
La cadena de amenazas realista se ve así. Un atacante aprovecha una vulnerabilidad conocida de un complemento de WordPress y obtiene acceso al shell como www-data. Ejecutan el PoC copy.fail. Ahora son root en el host. De repente, todos los demás inquilinos son accesibles, en la forma en que caminé en este truco post-mortem. La vulnerabilidad no lleva al atacante a la caja; cambia lo que sucede en los próximos diez segundos después de que aterrizan allí.
La vulnerabilidad surge de una falla lógica de «línea recta» en la API criptográfica del kernel. Muchos exploits que explotan condiciones de carrera y fallas de corrupción de memoria no tienen éxito de manera consistente en todas las versiones o distribuciones del kernel y, a veces, incluso en la misma máquina. Debido a que el código publicado para CopyFail explota una falla lógica, «la confiabilidad no es probabilística y el mismo script funciona en todas las distribuciones, escribieron los investigadores de Bugcrowd. «Sin ventana de carrera, no hay compensación del kernel».
CopyFail recibe su nombre porque el proceso de plantilla AEAD de autenticación (utilizado para números de secuencia extendida IPsec) en realidad no copia datos cuando debería. En cambio, «utiliza el búfer de destino de la persona que llama como un bloc de notas, escribe 4 bytes más allá de la región de salida legítima y nunca los restaura», dijo Theori. «La ‘copia’ de los bytes de AAD ESN ‘no logra’ permanecer dentro del búfer de destino».
La peor vulnerabilidad de Linux en años
Otros expertos en seguridad se hicieron eco de la perspectiva de que CopyFail representa una amenaza grave, y uno de ellos dijo que son las «peores vulnerabilidades de root en el kernel en los últimos tiempos».
La vulnerabilidad de Linux más reciente fue Dirty Pipe de 2022 y Dirty Cow de 2016. Ambas vulnerabilidades fueron explotadas activamente en la naturaleza.
