✨︎ Resumen (TL;DR):
- Un error lógico en el kernel permite a cualquier usuario local sin privilegios obtener control total del sistema.
- El exploit Copy Fail (CVE-2026-31431) impacta a casi todas las distribuciones operativas lanzadas desde 2017.
- Una plataforma de inteligencia artificial detectó esta vulnerabilidad tras apenas una hora de escaneo automatizado.
La firma de ciberseguridad Theori y su herramienta Xint Code revelaron el 29 de abril una vulnerabilidad severa en el kernel de Linux. Clasificado como CVE-2026-31431, este fallo crítico permite a usuarios locales obtener acceso root inmediato mediante un script de Python de apenas 732 bytes.
El problema tiene un puntaje de riesgo CVSS de 7.8 y compromete a casi todas las distribuciones enviadas desde 2017. Sistemas operativos clave como Ubuntu, Amazon Linux, RHEL y SUSE resultaron directamente afectados.
Los desarrolladores responsables del kernel principal aplicaron un parche oficial el 1 de abril. Posteriormente, las compañías distribuidoras publicaron sus propias mitigaciones para los servidores comerciales.
Copy Fail es un exploit de memoria que altera la caché de las páginas del sistema sin modificar el almacenamiento físico. El origen técnico se remonta a una optimización de 2017 implementada en el archivo algif_aead.c para acelerar operaciones criptográficas.
Al cruzar esta función con la llamada al sistema splice(), las páginas almacenadas en caché caen en una lista de dispersión escribible. Durante este proceso, el algoritmo AEAD inserta cuatro bytes de datos basura directamente en esas páginas.
El atacante tiene el control exacto del archivo objetivo y del valor de los cuatro bytes escritos. El script de prueba apunta a /usr/bin/su, entregando en segundos una terminal root al agresor.
Como el archivo original en el disco permanece intacto, las herramientas de seguridad como AIDE o dm-verity no detectan la intrusión.
A diferencia de Dirty Pipe (CVE-2022-0847), esta brecha omisión de seguridad de 2022 no requiere configuraciones complejas en la memoria del kernel. SUSE confirmó en su reporte técnico que el método “no requiere condiciones de carrera complejas y funciona con un 100% de confiabilidad a través de un pequeño script”.
Auditoría de código impulsada por IA
El sistema de auditoría Xint Code encontró la falla tras revisar durante una hora el subsistema criptográfico de Linux. Theori explicó que el descubrimiento requirió solamente “un prompt de operador, sin arneses”.
Casey Ellis, analista de Bugcrowd, advirtió sobre la velocidad que ofrecen estos escáneres de IA. El especialista escribió que “el costo de encontrar fallas lógicas profundas podría haber disminuido en algo similar a un orden de magnitud”.
Ellis subrayó que las compañías enfocadas en seguridad informática tienen “semanas para actualizar eso, no años”. Tras la corrección oficial, Theori publicó en GitHub la prueba de concepto y el código fuente completo.
La solución implementada a través del commit a664bf3d603d revierte la arquitectura de 2017. Para los administradores que no pueden parchear el sistema de forma inmediata, existen vías alternativas de contención técnica:
- Bloquear el módulo algif_aead en el kernel, una medida que no altera la operación normal de los servidores.
- Restringir la creación de sockets AF_ALG mediante políticas de seccomp en plataformas de contenedores.
El descubrimiento reescribe el esquema de monitoreo en ciberseguridad, demostrando que algoritmos entrenados pueden destapar brechas estructurales indetectables durante casi una década.
