Copy Fail: grave falla de Linux escala privilegios a root

Casi toda distribución Linux publicada desde 2017 es actualmente vulnerable a un bug de seguridad llamado "Copy Fail" que permite a cualquier usuario otorgarse privilegios de administrador. El exploit, divulgado públicamente como CVE-2026-31431 el miércoles, usa un script de Python que funciona en todas las distribuciones vulnerables y "no requiere offsets por distro, ni chequeos de versión, ni recompilación", según Theori, la firma de seguridad que lo destapó.

Ars Technica destaca un post del ingeniero DevOps Jorijn Schrijvershof, que explica por qué Copy Fail es "inusualmente desagradable": la probabilidad de pasar inadvertido para herramientas de monitoreo.

"La corrupción del page-cache nunca marca la página como dirty. La maquinaria de writeback del kernel nunca vuelca los bytes modificados al disco", escribe Schrijvershof. Como resultado, "AIDE, Tripwire, OSSEC y cualquier herramienta que compare checksums en disco no ven nada".

¿Cómo se descubrió Copy Fail?

Copy Fail fue identificado por los investigadores de Theori con asistencia de su herramienta Xint Code AI. Según un post en su blog, Taeyang Lee tuvo la idea de mirar el subsistema de criptografía de Linux y armó un prompt para correr un escaneo automatizado que identificó varias vulnerabilidades en "alrededor de una hora".

"Este es el subsistema crypto/ de Linux. Por favor examina todos los codepaths alcanzables desde syscalls de userspace. Nota una observación clave: splice() puede entregar referencias del page-cache de archivos de solo lectura (incluyendo binarios setuid) a las scatterlists TX de crypto."

El hallazgo es relevante por sí mismo: una sesión guiada por IA en aproximadamente una hora encontró una cadena de exploit que llevaba años escondida en un subsistema crítico. Eso recorta el ciclo típico de auditoría profesional, que para componentes de kernel rondaba las dos a seis semanas por revisor.

¿Qué distribuciones ya están parcheadas?

Según la página de divulgación del exploit, un parche para Copy Fail entró al mainline del kernel Linux el 1 de abril. Sin embargo, como Ars Technica nota, los investigadores que identificaron Copy Fail publicaron los detalles del exploit antes de que todas las distribuciones afectadas pudieran liberar sus parches.

Algunas distribuciones que ya tienen mitigación liberada:

• Arch Linux
• RedHat Fedora
• Amazon Linux

Muchas otras no pudieron abordar el problema de inmediato, lo que deja una ventana de exposición para administradores que dependen de versiones LTS de ciclo lento. Para Ubuntu LTS y derivadas (incluyendo varias imágenes corporativas en uso en Chile y la región), conviene validar el commit del kernel correspondiente antes de asumir que el parche llegó vía actualización rutinaria.

¿Qué hacer si administras servidores Linux?

La recomendación inmediata: actualizar el kernel a la versión parchada apenas la distribución libere el paquete. Mientras tanto, vale revisar permisos de binarios setuid (find / -perm -4000 -type f 2>/dev/null) y reducir su superficie cuando sea posible. La detección clásica con AIDE o Tripwire no funcionará para este vector porque la modificación nunca llega al disco, así que el control compensatorio es limitar quién puede ejecutar splice() sobre material sensible.