Fallo crítico en el kernel de Linux permite elevación de privilegios a root

Una vulnerabilidad lógica en el subsistema criptográfico del kernel Linux permite a usuarios locales sin privilegios elevar sus derechos al nivel raíz. Identificada como CVE-2026-31431 y apodado Copy Fail, la falla afecta a las distribuciones lanzadas desde 2017. Desenvolvedoras de las principales distribuciones ya ha distribuido parches para corregir el problema. El exploit funciona a través de un script Python con sólo diez líneas y 732 bytes.

Vulnerabilidad técnica Mecanismo Copy Fail

El error reside en la plantilla de autenticación, un componente utilizado en las operaciones de cifrado autenticadas. La falla permite a los usuarios locales escribir cuatro bytes controlados en el caché de la página de cualquier archivo legible. El cambio en Essa afecta directamente la carga de archivos binarios en el kernel, creando una puerta de enlace para la escalada de privilegios.

‼️Copy Fail (CVE-2026-31431) is a Linux privilege escalation bug that lets any local user get root using a 732-byte Python script, and itworks on basically every major Linux distro shipped since 2017.

Website: https://t.co/KsC4XDIdnn

Write-up: https://t.co/ah4C7XtRLZ

GitHub:… pic.twitter.com/EwqDdAxSKb

— Dark Web Informer (@DarkWebInformer) April 29, 2026

El problema se originó a partir de un cambio implementado en 2017 en el módulo algif_aead. El cambio Essa permitió que las páginas de caché de páginas estuvieran disponibles para escritura en ciertos escenarios de listas de dispersión. Diferentemente A diferencia de otras vulnerabilidades clásicas, Copy Fail no requiere condiciones de carrera para funcionar, lo que simplifica significativamente su explotación.

Pesquisadores de Theori identificó el problema con el apoyo de herramientas de escaneo basadas en inteligencia artificial. El exploit altera el binario en la memoria sin activar mecanismos de detección basados ​​en eventos del sistema de archivos como inotify. Isso hace que la detección sea más compleja en tiempo real.

Leia Tambem

Claude cae en apagón global y Anthropic confirma errores en modelos

El tifón nº 6 Chanmi se acerca al sur de Kyushu y avanza hacia el este de Japón

Los Seibu Lions cancelaron el juego debido al tifón y programaron a Kaima Taira para el cuarto partido contra Hanshin Tiger

Impacto en entornos de producción y contenedorización

• CVE-2026-31431 recibió una puntuación de 7,8 sobre 10, clasificado como de gravedad alta.
• Exploração funciona en entornos multiinquilino y contenedores con un kernel compartido.
• La caché compartida Page en el host permite un posible escape de los contenedores Kubernetes.
• Não se puede explotar de forma remota de forma aislada, pero amplifica otros vectores de ataque.

Los Sistemas que ejecutan código que no es de confianza, como ejecutores de CI/CD o servidores compartidos, corren mayor riesgo. La caché de páginas compartidas a nivel de host plantea una amenaza de escape concreta en entornos en contenedores. Administradores que administran múltiples inquilinos o cargas de trabajo de terceros deben priorizar la actualización inmediata del kernel.

Distribuições ahora ofrece parches corregidos

Debian, Ubuntu y SUSE ya han puesto a disposición kernels actualizados con la solución. Red Hat ha cambiado su posición de aplazamiento inicial y ahora ofrece el parche sincronizado con el ecosistema. Fedora también ha enviado la solución a sus repositorios. La implementación del parche se produce de manera coordinada entre los mantenedores principales, con Debian y Ubuntu publicando nuevos núcleos con la necesaria reversión al comportamiento local de algif_aead.

La comunidad Linux sigue el proceso en listas de discusión y foros técnicos. Los administradores de Muitos ya iniciaron la aplicación en servidores críticos. La coordinación entre proveedores limitó el período de exposición después de la divulgación responsable del fallo.

Mitigación temporal Medidas

Una medida temporal es desactivar el módulo algif_aead, evitando que el componente vulnerable se cargue en la mayoría de los escenarios. Administradores puede crear el archivo /etc/modprobe.d/disable-algif.conf con el contenido install algif_aead /bin/false. Após esto, debes ejecutar rmmod algif_aead para eliminar el módulo si está cargado.

La configuración de Essa puede afectar aplicaciones que dependen explícitamente del módulo de cifrado. Se recomienda Testes en entornos de prueba antes de su aplicación en producción. El Atualizações oficial sigue siendo la solución definitiva y más segura para resolver completamente la vulnerabilidad.

Contexto Descubrimiento y perspectivas futuras

Copy Fail se asemeja a fallas históricas como Dirty Cow y Dirty Pipe, pero destaca por su simplicidad de exploración y amplitud de alcance. El reciente aumento de informes de vulnerabilidad está directamente relacionado con el uso de herramientas de inteligencia artificial en la búsqueda de errores. Pesquisadores estima que la mayoría de las instalaciones activas desde 2017 requieren atención inmediata para mantener la seguridad operativa.