La vulnerabilidad fue descubierta por **Theori**, una empresa de seguridad ofensiva, utilizando su plataforma de pentesting impulsada por IA **Xint Code** después de escanear el subsistema criptográfico de Linux durante aproximadamente una hora. **Theori** informó el hallazgo al equipo de seguridad del kernel de Linux el 23 de marzo, y los parches estuvieron disponibles en una semana. Los detalles técnicos y un exploit de prueba de concepto surgieron públicamente poco después. Aunque la empresa de ciberseguridad desarrolló y probó un exploit basado en Python "100% confiable" para cuatro distribuciones de Linux (**Ubuntu 24.04 LTS**, **Amazon Linux 2023**, **RHEL 10.1** y **SUSE 16**), los investigadores afirman que el script de 732 bytes otorga acceso root a todas las distribuciones de Linux distribuidas desde 2017. ### Causa Raíz de Copy Fail En una [descripción detallada](https://xint.io/blog/copy-fail-linux-distributions), los investigadores explican que el problema de Copy Fail (**CVE-2026-31431**) "es un error lógico en la plantilla criptográfica authencesn del kernel de Linux" que permite a un usuario autenticado realizar de manera confiable una "escritura de 4 bytes en la caché de páginas de cualquier archivo legible en el sistema". Al combinar la interfaz basada en sockets 'AF_ALG', que otorga acceso a las funciones criptográficas del kernel de Linux desde el espacio de usuario, y la llamada al sistema `splice()`, un usuario sin privilegios puede realizar una escritura controlada de 4 bytes en la caché de páginas de un archivo, en lugar de un buffer normal. Si esos 4 bytes impactan un binario setuid-root, pueden alterar su comportamiento al ejecutarse, otorgando privilegios de root al atacante. La falla se introdujo en 2017 cuando el equipo del kernel de Linux agregó una optimización "en el lugar" a la ruta criptográfica, lo que significa que comenzó a reutilizar el mismo buffer en lugar de mantener estrictamente separados la entrada y la salida. ### Impacto y Soluciones El Proof-of-Concept (PoC) de **Theori** es un exploit de 732 bytes consistentemente efectivo que otorga acceso root a todas las distribuciones principales de Linux que ejecutan una versión vulnerable del Kernel de Linux, según los investigadores. Demostraron y confirmaron el exploit [Copy Fail](https://copy.fail/) en **Ubuntu 24.04**, **Amazon Linux 2023**, **RHEL 10.1** y **SUSE 16**:  Copy Fail se caracteriza por estar más cerca de la vulnerabilidad '[Dirty Pipe](https://www.bleepingcomputer.com/news/security/new-linux-bug-gives-root-on-all-major-distros-exploit-released/)' que las fallas típicas de escalada de privilegios locales, es más confiable (éxito del 100% declarado) y es más explotable de forma generalizada que la mayoría de los bugs de esta clase. Incluso en comparación con Dirty Pipe, Copy Fail se considera más práctico. "Copy Fail es más portable. Un script, todas las distros, sin offsets. Dirty Pipe necesitaba kernel ≥ 5.8 con parches específicos; Copy Fail cubre toda la ventana de 2017-2026", señalan los investigadores de **Theori**. [CVE-2026-31431](https://nvd.nist.gov/vuln/detail/CVE-2026-31431) se corrigió upstream el 1 de abril revirtiendo el comportamiento criptográfico "en el lugar" problemático introducido en la versión 4.14 del kernel de Linux en 2017. Las correcciones estuvieron disponibles en las versiones 6.18.22, 6.19.12 y 7.0. Según los investigadores, las principales distribuciones de Linux ya están implementando la corrección a través de actualizaciones del kernel. Sin embargo, el analista principal de vulnerabilidades de Tharros, Will Dormann, señala que no hay "actualizaciones oficiales para CVE-2026-31431". "Fedora 42 y versiones posteriores tienen actualizaciones, pero no hay un aviso oficial ni reconocimiento de CVE-2026-31431", dice [Dormann](http://infosec.exchange/@wdormann/116493725294723695). Como mitigación provisional para aquellos que aún no han recibido las actualizaciones, los investigadores recomiendan deshabilitar la interfaz criptográfica vulnerable, lo que bloquearía la creación de sockets AF_ALG, o deshabilitar el módulo algif_aead: bash echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf rmmod algif_aead Los investigadores de **Theori** sugieren priorizar los hosts Linux multi-inquilino, clústeres de Kubernetes/contenedores, runners/granjas de compilación CI y SaaS en la nube que ejecutan código de usuario en el esfuerzo de parcheo. ## [El 99% de lo que encontró Mythos sigue sin parchear.](https://hubs.li/Q04crVgD0) La IA encadenó cuatro zero-days en un solo exploit que eludió tanto los sandboxes del renderizador como los del sistema operativo. Se avecina una ola de nuevos exploits. En la Cumbre de Validación Autónoma (12 y 14 de mayo), vea cómo la validación autónoma y rica en contexto encuentra lo que es explotable, demuestra que los controles se mantienen y cierra el ciclo de remediación. [Reclama tu Lugar](https://hubs.li/Q04crVgD0)