Nueva vulnerabilidad 'Copy Fail' en Linux permite acceso root

-

Investigadores de ciberseguridad han revelado detalles sobre una vulnerabilidad de escalada de privilegios locales en Linux que podría permitir a un usuario local no autenticado obtener acceso root. La vulnerabilidad, rastreada como CVE-2026-31431, tiene un puntaje CVSS de 7.8.



La vulnerabilidad de alta gravedad, apodada Copy Fail por Xint.io y Theori, permite a un usuario local no autenticado escribir cuatro bytes controlados en la caché de página de cualquier archivo legible en un sistema Linux, lo que le permite obtener acceso root. El equipo de investigación de vulnerabilidades de Xint.io y Theori explicó que esta falla se origina en un error lógico en el subsistema criptográfico del núcleo de Linux, específicamente dentro del módulo algif_aead. El problema fue introducido en un commit de código fuente realizado en agosto de 2017.

La explotación exitosa de esta vulnerabilidad podría permitir que un simple script de Python de 732 bytes edite un binario setuid y obtenga acceso root en prácticamente todas las distribuciones de Linux lanzadas desde 2017, incluyendo Amazon Linux, RHEL, SUSE y Ubuntu. La explotación en Python implica cuatro pasos.

Aunque la vulnerabilidad no es explotable de forma remota de manera aislada, un usuario local no autenticado puede obtener acceso root simplemente corrompiendo la caché de página de un binario setuid. Este mismo principio también tiene impactos entre contenedores, ya que la caché de página se comparte entre todos los procesos en un sistema.

En respuesta a la divulgación, las distribuciones de Linux han emitido sus propios avisos. Copy Fail tiene ecos en Dirty Pipe (CVE-2022-0847), otra vulnerabilidad de escalada de privilegios locales en el núcleo de Linux que podría permitir a usuarios no autenticados insertar datos en la caché de página de archivos de solo lectura y, en última instancia, sobrescribir archivos sensibles en el sistema para lograr la ejecución de código.

David Brumley de Bugcrowd comentó: «Copy Fail pertenece a la misma clase de primitiva, en un subsistema diferente». La optimización en su lugar de 2017 en algif_aead permite que una página de caché termine en la lista de dispersión de destino escribible del núcleo para una operación AEAD enviada a través de un socket AF_ALG. Un proceso no privilegiado puede entonces impulsar splice() en ese socket y completar una escritura pequeña y dirigida en la caché de página de un archivo que no posee.

Lo que hace que esta vulnerabilidad sea peligrosa es que puede ser activada de manera confiable y no requiere ninguna condición de carrera o desplazamiento del núcleo. Además, la misma explotación funciona en diferentes distribuciones. Un portavoz de Xint.io declaró: «Esta vulnerabilidad es única porque tiene cuatro propiedades que casi nunca aparecen juntas: es portátil, pequeña, sigilosa y cross-container. Permite a cualquier cuenta de usuario, sin importar cuán básica sea, aumentar su privilegio a acceso total de administrador. También les permite eludir el sandboxing y funciona en todas las versiones y distribuciones de Linux.»

Fuente:
https://thehackernews.com/2026/04/new-linux-copy-fail-vulnerability.html

Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

ANCI investiga presunta filtración masiva de datos que afectaría a la Tesorería General de la República, al Registro Civil y a la ClaveÚnica

-
Santiago, 2 de mayo de 2026. — La Agencia Nacional de Ciberseguridad (ANCI) confirmó que se encuentra analizando reportes de una presunta actividad maliciosa que comprometería sistemas de organismos del Estado y operadores de telecomunicaciones en Chile, luego de que la firma de inteligencia cibernética VECERT Analyzer alertara públicamente sobre una brecha de alto impacto dirigida contra la Tesorería General de la República (TGR), el Registro Civil y servicios asociados a la ClaveÚnica. El actor de amenaza identificado bajo el alias "rutify" habría difundido en grupos especializados de Telegram registros que sugieren la filtración de datos sensibles durante las últimas 48 horas, según la alerta original publicada por VECERT en su cuenta oficial de X. Qué denuncia el reporte de VECERT De acuerdo con el análisis técnico difundido por la firma, las muestras filtradas corresponderían a solicitud...
Leer más

Falsos sitios de DocuSign y Gitcode propagan NetSupport RAT mediante ataque PowerShell en múltiples etapas

-
Imagen
Cazadores de amenazas están alertando sobre una nueva campaña que utiliza sitios web falsos para engañar a usuarios desprevenidos y hacer que ejecuten scripts maliciosos de PowerShell en sus máquinas, infectándolas con el malware NetSupport RAT. El equipo de Investigaciones de DomainTools (DTI) informó que identificó “scripts PowerShell maliciosos en múltiples etapas” alojados en sitios trampa que se hacen pasar por Gitcode y DocuSign. “Estos sitios intentan engañar a los usuarios para que copien y ejecuten un script inicial de PowerShell desde el comando ‘Ejecutar’ de Windows”, indicó la empresa en un informe técnico compartido con The Hacker News. “Al hacerlo, el script de PowerShell descarga otro script que actúa como descargador y lo ejecuta en el sistema, lo que a su vez recupera cargas útiles adicionales y las ejecuta, instalando finalmente NetSupport RAT en las máquinas infectadas.” Ciberseguridad Se cree que estos sitios falsos se propagan mediante tácticas de ingeniería so...
Leer más

Análisis de impacto: El Modelo Mythos y el Panorama de la Ciberseguridad

-
El 7 de abril de 2026, Anthropic anunció Claude Mythos Preview , su modelo de mayor capacidad hasta la fecha. Paralelamente, el análisis Eye on the Market de J.P. Morgan (Cembalest, 13 de abril) ofrece una lectura técnico-financiera sobre sus implicaciones. Este artículo sintetiza ambas fuentes con énfasis en los vectores de amenaza más relevantes para infraestructuras críticas y entornos empresariales. Evolución del Rendimiento Mythos supera a sus predecesores en el Epoch Capabilities Index —un índice compuesto por 40 benchmarks independientes— con una aceleración sin precedente en el histórico de la plataforma. Resulta especialmente notable que supere a versiones lanzadas hace apenas dos meses, señalando una compresión del ciclo de mejora. 73% Tasa de éxito en CTFs de nivel experto (AISI) 24/32 Pasos promedio completados en ataque corporativo simulado +1000 Zero-days identificados en semanas de us...
Leer más