Exploits publicados públicamente El código para una vulnerabilidad efectivamente no parcheada que otorga acceso raíz a casi todas las versiones de Linux está haciendo sonar las alarmas mientras los defensores luchan por defenderse de compromisos graves dentro de los centros de datos y en los dispositivos personales.
Vulnerabilidades y el código de explotación que las explota lanzado el miércoles por la noche por investigadores de la firma de seguridad Theory, cinco semanas después de revelarlo de forma privada al equipo de seguridad del kernel de Linux. El equipo parchó la vulnerabilidad en varias versiones. 7.0, 19.6.12, 6.18.126.12.85, 6.6.137, 6.1.170, 5.15.204 y 5.10.254), pero pocas distribuciones de Linux incluían la solución en el momento en que se lanzó el exploit.
Un script para hackearlo todo
La falla crítica, identificada como CVE-2026-31431 y denominada CopyFail, es la escalada de privilegios locales, una clase de vulnerabilidades que permite a los usuarios sin privilegios ascender a administradores. CopyFail es tan grave porque puede explotarse con un único código de explotación (publicado en la divulgación del miércoles) que funciona en todas las distribuciones vulnerables sin modificaciones. Por lo tanto, los atacantes pueden, entre otras cosas, piratear sistemas multiinquilino, salir de contenedores basados en Kubernetes u otros marcos y crear solicitudes de extracción maliciosas que canalizan el código de explotación a través de CI/CD flujo de trabajo.
“La ‘escalada de privilegios locales’ suena aburrida, así que permítanme analizarla”, investigador Jorijn Schrijvershof escribió el jueves. “Lo que esto significa: un atacante que ya tiene una forma de ejecutar código en una máquina, incluso siendo el usuario más aburrido y sin privilegios, puede promoverse a root. Desde allí puede leer cada archivo, instalar una puerta trasera, monitorear cada proceso y saltar a otro sistema”.
Schrijvershof agregó que el mismo script de Python que lanzó Theori funcionó bien para Ubuntu 22.04, Amazon Linux 2023, SUSE 15.6 y Debian 12. El investigador continuó:
¿Por qué es esto importante en la infraestructura compartida? Porque lo “local” incluye muchas cosas en 2026: cada contenedor en un nodo Kubernetes compartido, cada inquilino en una caja de alojamiento compartido, cada trabajo de CI/CD que ejecuta código de solicitud de extracción que no es de confianza, cada instancia WSL2 en una computadora portátil con Windows, cada agente de IA en un contenedor con acceso de shell. Todos comparten un kernel de Linux con sus vecinos. El kernel LPE rompe ese límite.
Una cadena de amenazas realista se ve así. El atacante aprovechó una vulnerabilidad conocida del complemento de WordPress y obtuvo acceso al shell como www-data. Ejecutan PoC copy.fail. Ahora rootean el host. De repente se puede contactar a todos los demás inquilinos, como lo pasé en este truco post mortem. La vulnerabilidad no permite que los atacantes entren en la caja; Cambió lo que sucedió en los siguientes diez segundos después de que aterrizaron allí.
Esta vulnerabilidad se debe a una debilidad lógica de “línea recta” en la API criptográfica del kernel. Muchos exploits explotan condiciones de carrera y las fallas de corrupción de memoria no funcionan de manera consistente en todas las versiones o distribuciones del kernel y, a veces, incluso en la misma máquina. Debido a que el código publicado para CopyFail explota fallas lógicas, “la confiabilidad no es probabilística y el mismo script funciona en todas las distribuciones, investigadores de Bugcrowd escribir. “Sin ventana de carrera, sin compensación del kernel”.
CopyFail recibe su nombre porque el proceso de plantilla AEAD de autenticación (utilizado para números de secuencia IPsec extendidos) en realidad no copia los datos como debería. En cambio, “utiliza el búfer de destino de la persona que llama como un bloc de notas, escribe 4 bytes más allá de la región de salida válida y nunca los recupera”, dijo Theori. “La ‘copia’ del byte ESN de AAD ‘falló’ al permanecer en el búfer de destino”.
La peor vulnerabilidad de Linux en años
Otros expertos en seguridad también piensan que CopyFail es una amenaza grave. proverbio esta es “la peor vulnerabilidad que me ha provocado rootear el kernel en los últimos tiempos”.
La última vulnerabilidad de Linux es Tuberías sucias a partir de 2022 y vaca sucia en 2016. Estas dos vulnerabilidades son explotado activamente en la naturaleza.
