La vulnerabilidad 'copy.fail' (asignada **CVE-2026-31431**) representa una amenaza grave para los sistemas **Linux**, permitiendo la escalada de privilegios local. Esto significa que un atacante que ya ha obtenido cierto nivel de acceso a una máquina, incluso con privilegios limitados, puede elevar sus privilegios a root. ### Detalles Técnicos El exploit aprovecha la API de criptografía del kernel (sockets **AF_ALG**) en conjunto con la función `splice()`. Esto permite a los atacantes escribir cuatro bytes a la vez directamente en la caché de páginas de un archivo que no poseen. La vulnerabilidad es particularmente peligrosa porque no modifica el archivo en disco, evadiendo la detección por herramientas comunes de monitoreo de integridad como **AIDE** y **Tripwire**. ### Impacto Generalizado La vulnerabilidad afecta a una amplia gama de distribuciones **Linux**, incluyendo **Ubuntu**, **RHEL**, **Debian**, **SUSE**, **Amazon Linux** y **Fedora**. El exploit funciona de manera consistente en estas distribuciones sin requerir offsets o ajustes específicos. ### Implicaciones para Infraestructura Compartida La vulnerabilidad 'copy.fail' tiene serias implicaciones para entornos de infraestructura compartida, tales como: * Contenedores en nodos **Kubernetes** compartidos * Tenants en entornos de hosting compartido * Trabajos de CI/CD que ejecutan pull requests no confiables * Instancias **WSL2** en laptops **Windows** * Agentes de IA contenerizados con acceso shell En estos escenarios, múltiples usuarios o procesos comparten el mismo kernel de **Linux**, haciéndolos vulnerables a ataques de escalada de privilegios. ### Mitigación Un parche que aborda la vulnerabilidad fue fusionado en el kernel principal el 1 de abril. Las distribuciones están actualmente desplegando kernels actualizados. Hasta que los sistemas sean parcheados, considere implementar perfiles seccomp personalizados para bloquear el syscall vulnerable. Los Estándares de Seguridad de Pods de **Kubernetes** (Restricted) por defecto y el perfil seccomp RuntimeDefault no bloquean el syscall utilizado por el exploit. ### Referencias [Divulgación Original de la Vulnerabilidad](https://jorijn.com/en/blog/copy-fail-cve-2026-31431-linux-kernel-bug-explained/) [Artículo de Noticias](https://arstechnica.com/security/2026/04/as-the-most-severe-linux-threat-in-years-surfaces-the-world-scrambles/)