El código de explotación publicado públicamente para una vulnerabilidad efectivamente no parcheada que otorga acceso raíz a casi todas las versiones de Linux está haciendo sonar las alarmas mientras los defensores luchan por defenderse de compromisos graves dentro de los centros de datos y en los dispositivos personales.
Vulnerabilidades y el código de explotación que las explota lanzado el miércoles por la noche por investigadores de la firma de seguridad Theory, cinco semanas después de revelarlo de forma privada al equipo de seguridad del kernel de Linux. El equipo parchó la vulnerabilidad en varias versiones. 7.0, 19.6.12, 6.18.126.12.85, 6.6.137, 6.1.170, 5.15.204 y 5.10.254), pero pocas distribuciones de Linux incluían la solución en el momento en que se lanzó el exploit.
Un script piratea todas las distribuciones
La falla crítica, identificada como CVE-2026-31431 y denominada CopyFail, es la escalada de privilegios locales, una clase de vulnerabilidades que permite a los usuarios sin privilegios ascender a administradores. CopyFail es tan grave porque puede explotarse con un único código de explotación (publicado en la divulgación del miércoles) que funciona en todas las distribuciones vulnerables sin modificaciones. Por lo tanto, los atacantes pueden, entre otras cosas, piratear sistemas multiinquilino, salir de contenedores basados en Kubernetes u otros marcos y crear solicitudes de extracción maliciosas que canalizan el código de explotación a través de CI/CD flujo de trabajo.
“La ‘escalada de privilegios locales’ suena aburrida, así que permítanme analizarla”, investigador Jorijn Schrijvershof escribió el jueves. “Lo que esto significa: un atacante que ya tiene una forma de ejecutar código en una máquina, incluso siendo el usuario más aburrido y sin privilegios, puede promoverse a root. Desde allí puede leer cada archivo, instalar una puerta trasera, monitorear cada proceso y saltar a otro sistema”.
Schrijvershof agregó que el mismo script de Python que lanzó Theori funcionó bien para Ubuntu 22.04, Amazon Linux 2023, SUSE 15.6 y Debian 12. El investigador continuó:
