**CISA** ha emitido una alerta sobre **CVE-2026-31431**, una vulnerabilidad de escalada de privilegios local que afecta a varias distribuciones de Linux. La vulnerabilidad, también conocida como **Copy Fail**, permite a un usuario local sin privilegios obtener acceso root. ### Detalles Técnicos de Copy Fail La vulnerabilidad, rastreada como **CVE-2026-31431** (puntuación CVSS: 7.8), se deriva de una transferencia incorrecta de recursos dentro del kernel de Linux. Según investigadores de Theori y Xint, **Copy Fail** es un error lógico en la plantilla criptográfica de autenticación del kernel de Linux. Esto permite a los atacantes desencadenar trivialmente la escalada de privilegios utilizando un exploit de Python relativamente pequeño de 732 bytes. La falla se introdujo a través de cambios aparentemente inofensivos en el kernel de Linux en 2011, 2015 y 2017. ### Impacto y Sistemas Afectados Esta vulnerabilidad de alta severidad afecta a las distribuciones de Linux distribuidas desde 2017. Permite a un usuario local sin privilegios obtener acceso a nivel de root al corromper la [caché de páginas](https://en.wikipedia.org/wiki/Page_cache) en memoria del kernel de cualquier archivo legible, incluidos los binarios setuid. **Wiz**, una firma de seguridad propiedad de **Google**, explica que modificar la caché de páginas altera efectivamente los binarios en tiempo de ejecución sin modificar el disco. Esto permite a los atacantes inyectar código en binarios privilegiados (por ejemplo, /usr/bin/su) para obtener privilegios de root.  ### Entornos Contenerizados en Riesgo La prevalencia de Linux en entornos de nube amplifica significativamente el impacto de esta vulnerabilidad. **Kaspersky** advierte que **Copy Fail** representa un riesgo grave para entornos contenerizados como **Docker**, **LXC** y **Kubernetes**. Estas plataformas a menudo otorgan a los procesos dentro de un contenedor acceso al subsistema AF_ALG si el módulo algif_aead está cargado en el kernel del host por defecto. **Kaspersky** señala además que la explotación es relativamente sencilla y difícil de detectar, ya que el exploit utiliza solo llamadas al sistema legítimas. Esto dificulta distinguirlo del comportamiento normal de la aplicación. ### Disponibilidad de Exploits y Actividad de Actores de Amenazas Existe un proof-of-concept (PoC) de exploit totalmente funcional disponible públicamente. **Kaspersky** ha detectado versiones en Go y Rust de la implementación original en Python en repositorios de código abierto. El **Microsoft Defender Security Research Team** ha observado actividad de prueba preliminar, lo que sugiere un aumento potencial en la explotación por parte de actores de amenazas en un futuro cercano. ### Análisis de Microsoft y Vectores de Ataque Según **Microsoft**, el vector de ataque es local y requiere bajos privilegios sin interacción del usuario. Si bien no es explotable de forma remota de forma aislada, se vuelve muy impactante cuando se encadena con un vector de acceso inicial, como acceso Secure Shell (SSH), ejecución maliciosa de trabajos de CI o puntos de apoyo en contenedores. **Microsoft** describió un escenario de ataque potencial: 1. Reconocimiento para identificar un host o contenedor Linux vulnerable. 2. Preparación de un disparador de Python. 3. Ejecución del exploit desde un contexto de bajo privilegio. 4. Sobrescritura controlada de 4 bytes en la caché de páginas del kernel, lo que lleva a la corrupción de datos sensibles gestionados por el kernel. 5. Escalada a UID 0 y privilegios de root completos. ### Remediación y Mitigación Las agencias del Poder Ejecutivo Civil Federal (FCEB) están obligadas a aplicar las correcciones antes del 15 de mayo de 2026. Las distribuciones de Linux afectadas han lanzado parches. Si la aplicación de parches inmediata no es factible, las organizaciones deben deshabilitar la función afectada, implementar aislamiento de red y aplicar controles de acceso estrictos.