Una nueva vulnerabilidad en el kernel de Linux tiene a la comunidad de seguridad en alerta máxima. Apodada Copy.Fail y registrada como CVE-2026-31431 (CVSS 7.8), permite que cualquier usuario local sin privilegios escale a acceso root completo con un script de Python de 732 bytes. Para empeorar las cosas, la misma técnica funciona como escape de contenedor en entornos Kubernetes.
¿Qué es Copy.Fail?
Copy.Fail es un bug de lógica de línea recta —una ruta de código que el kernel sigue sin ninguna bifurcación condicional— dentro de la plantilla criptográfica authencesn del kernel de Linux. La falla es accesible a través de dos interfaces estándar del kernel:
- Interfaz de socket AF_ALG: la API de criptografía del kernel para espacio de usuario
- Llamada al sistema splice(): un mecanismo de transferencia de datos sin copia
Al combinar estas dos interfaces en una secuencia específica, un atacante desencadena una condición de corrupción de memoria en el kernel que puede explotarse de manera confiable para obtener privilegios de root. Sin hardware especial, sin sincronización precisa de condiciones de carrera: solo una secuencia cuidadosamente elaborada de llamadas al sistema.
Alcance e impacto
El código vulnerable fue introducido en 2017, lo que significa que todas las distribuciones principales de Linux de los últimos nueve años incluían esta falla. Eso incluye Ubuntu, Debian, Red Hat Enterprise Linux, CentOS, Fedora, SUSE y sus derivados, así como cualquier imagen de contenedor o VM en la nube que ejecute un kernel vulnerable.
El impacto práctico es grave:
- Escalada de privilegios local a root: cualquier usuario con acceso a una shell en el sistema puede convertirse en root.
- Escape de contenedor en Kubernetes: el exploit funciona como primitiva de escape de contenedor, permitiendo que una carga de trabajo comprometida salga de su espacio de nombres y comprometa el nodo host subyacente.
- Conocimiento mínimo requerido: existe un proof-of-concept funcional de 732 bytes en Python disponible públicamente, lo que reduce significativamente la barrera de explotación.
La CISA ha agregado CVE-2026-31431 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), confirmando explotación real en la naturaleza.
Cronología
- 23 de marzo de 2026: Vulnerabilidad reportada al equipo de seguridad del kernel de Linux
- 1 de abril de 2026: Parches integrados en el mainline del kernel de Linux
- 29 de abril de 2026: Divulgación pública y asignación del CVE
La divulgación coordinada le dio tiempo a las principales distribuciones para preparar parches, pero la implementación en los sistemas finales depende de que los administradores y los pipelines de actualización automatizados los apliquen efectivamente.
Cómo solucionarlo
La solución es aplicar el parche del kernel de tu distribución de Linux. Revisa los avisos de seguridad de tu distribución:
- Ubuntu:
sudo apt update && sudo apt upgrade linux-image-$(uname -r) - Debian: aplica la actualización del kernel vía
aptdesde el repositorio de seguridad - RHEL / CentOS Stream / Fedora:
sudo dnf update kernel - SUSE / openSUSE: aplica vía
zypper update kernel-default
Después de actualizar, se requiere un reinicio para cargar el nuevo kernel. En entornos Kubernetes, los reinicios de nodos deben coordinarse a través de tus herramientas de gestión del clúster para evitar tiempo de inactividad.
No esperes para actuar
Con un exploit público, listado en el KEV de CISA y nueve años de kernels afectados, Copy.Fail representa un riesgo de escalada de privilegios inusualmente alto. Cualquier atacante que logre un acceso mínimo a tus sistemas —a través de una web shell, un servicio comprometido o una carga entregada por phishing— puede escalar inmediatamente a root usando este bug.
Solvanta ayuda a las empresas a mantener su infraestructura protegida y segura, desde la gestión proactiva de vulnerabilidades hasta la respuesta a incidentes. Si necesitas ayuda para evaluar tu exposición a CVE-2026-31431 o quieres reforzar tus entornos Linux y Kubernetes, contáctanos.