Vulnerabilidad Alta en Linux
Investigadores del equipo ciberseguridad de Theori, Xint Code Research, descubrieron un error en Linux, la cual permite escalar privilegios de forma local a cualquier usuario sin privilegios y que lleva existiendo en todas las distribuciones de Linux desde 2017. El error fue nombrado “Copy Fail” y permite a un usuario regular obtener control total de un sistema.
El error se genera en un subsistema llamado “algif_aead”, durante el proceso de la operación llevada a cabo en el socket “AF_ALG”, por una tarea “AEAD”, que es mandada a llamar por el kernel para escribir en caché. Un proceso sin privilegios puede, entonces, realizar una tarea que le permita escribir en la caché de otro archivo que no le corresponde.
Bajo la categorízación: CVE-2026-31431, con una calificación CVSS3.1 de 7.8 (alta), la vulnerabilidad fue anunciada en conjunto con una prueba de concepto funcional, en un script de Python que permite modificar la memoria de un archivo, tal como el de “/usr/bin/su”, un programa que requiere de privilegios para funcionar y que permite obtener control total del sistema al convertir al usuario en “root”, con el nivel de acceso más alto. Asimismo, esta vulnerabilidad deja muy pocas evidencias para análisis forense ya que los cambios pasan en memoria, sin escribir en disco. Es por esto por lo que pasaron algunos años sin que pudiera ser detectada, ya que fue necesario escanear millones de líneas de código. El método de explotación es algo inusual de ver: portable, discreto y pequeño.
Como esta vulnerabilidad afecta al kernel de Linux, eso significa que muchas distribuciones de Linux se ven afectadas, tales como: Ubuntu 24.04 LTS, Amazon Linux 2023, Red Hat Enterprise Linux 10.1 o SUSE 16.
Versiones Afectadas
| Productos | Versiones afectadas | Versiones corregidas |
| Linux | Desde 0 hasta antes de 4.14 | 4.14 y posteriores |
| Desde antes de 5.10.254 | Desde 5.10.254 hasta 5.10.* | |
| Desde antes de 5.15.204 | Desde 5.15.204 hasta 5.15.* | |
| Desde antes de 6.1.170 | Desde 6.1.170 hasta 6.1.* | |
| Desde antes de 6.6.137 | Desde 6.6.137 hasta 6.6.* | |
| Desde antes de 6.12.85 | Desde 6.12.85 hasta 6.12.* | |
| Desde antes de 6.18.22 | Desde 6.18.22 hasta 6.18.* |
Recomendaciones
- Actualizar a la versión más reciente y no vulnerable de la distribución de Linux que aplique en su situación.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto (NIST CSF, 2024).
- Revisar logs para de ejecución de software de acceso remoto (NIST CSF, 2024).
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad (NIST CSF, 2024).
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque (NIST CSF, 2024).
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactorial.
Referencias
- Ahmed, D. (2026, abril 30). 9-Year-Old Linux Kernel Vulnerability “Copy Fail” Enables Full Root Access. HackRead. Recuperado el 30 de abril de 2026, en: https://hackread.com/linux-kernel-vulnerability-copy-fail-full-root-access/
- Brumley, David. (2026, abril 29). What we know about Copy Fail (CVE-2026-31431). Bugcrowd. Recuperado el 30 de abril de 2026, en: https://live-bug-crowd.pantheonsite.io/blog/what-we-know-about-copy-fail-cve-2026-31431/
- Lakshmanan, R. (2026, abril 30). New Linux «Copy Fail» Vulnerability Enables Root Access on Major Distributions. The Hacker News. Recuperado el 30 de abril de 2026, en: https://thehackernews.com/2026/04/new-linux-copy-fail-vulnerability.html
