Identificador: CVE-2026-31431 | Puntuación CVSS: 7.8 / 10 (Alto) | Divulgación: 29 de abril de 2026 | Estado: ✅ Solucionado
¿Qué es Copy Fail y cómo funciona?
Copy Fail es una vulnerabilidad de escalada de privilegios local (LPE) descubierta en el subsistema criptográfico del kernel de Linux, específicamente en el módulo algif_aead de la interfaz AF_ALG. Fue descubierta por el equipo de Xint Code y divulgada el 29 de abril de 2026.
El fallo reside en una optimización defectuosa introducida al kernel en 2017. Cuando un usuario sin privilegios realiza operaciones criptográficas usando splice() en conjunto con AF_ALG, el algoritmo authencesn escribe incorrectamente 4 bytes controlados en la caché de páginas del kernel, que es la copia en memoria de los archivos del sistema.
Esto permite modificar el contenido de archivos privilegiados solo en memoria, sin alterar el archivo en disco. Al apuntar a un binario con privilegios elevados (como sudo), un atacante puede obtener acceso root. La prueba de concepto pública logra esto con apenas 732 bytes de código Python.
🔥 Impacto y alcance
⚠️ Todos los kernels de Linux desde 2017 están afectados. Esto incluye Ubuntu, RHEL, Amazon Linux, SUSE y prácticamente cualquier distribución moderna.
- Escalada a root: cualquier usuario local sin privilegios puede obtener acceso root en el sistema, poniendo en riesgo todos los datos y configuraciones del servidor.
- Evasión forense: el ataque solo modifica la caché de memoria. El archivo en disco permanece intacto, lo que hace que la detección mediante herramientas de análisis de disco sea prácticamente imposible. Un reinicio elimina el rastro.
- Escape de contenedores: en entornos con Docker, Kubernetes o runners de CI/CD, la vulnerabilidad puede ser utilizada para escapar del contenedor y comprometer el host subyacente.
- Exploit público disponible: existe una prueba de concepto (PoC) funcional de solo 732 bytes, lo que reduce considerablemente la barrera técnica para su explotación.
- No es explotable de forma remota directamente, pero se vuelve crítico si un atacante ya tiene acceso inicial al sistema (por SSH, un contenedor comprometido, etc.).
✅ ¿Está solucionado? ¿Qué debo hacer?
Sí. El upstream del kernel de Linux ya incorporó la corrección revirtiendo la optimización defectuosa de 2017. Las principales distribuciones han lanzado actualizaciones de seguridad. Ubuntu 26.04 (Resolute) y versiones posteriores no están afectadas.
Si tu servidor corre Linux, estas son las acciones recomendadas:
- Actualizar el kernel a la versión parcheada disponible en tu distribución (Ubuntu, RHEL, CloudLinux, etc.) lo antes posible.
- Mitigación temporal (si no podés actualizar de inmediato): desactivar el módulo
algif_aeadejecutando los siguientes comandos como root:
echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif.conf
sudo modprobe -r algif_aead⚠️ Desactivar este módulo puede afectar aplicaciones que dependan de funciones criptográficas aceleradas por hardware. Si ocurre algún problema de compatibilidad, un reinicio debería restablecer el comportamiento normal.
