La comunidad de ciberseguridad está en alerta máxima tras los informes que indican que actores de amenazas están explotando activamente la vulnerabilidad de seguridad de Linux 'Copy Fail', apenas un día después de su divulgación por parte de investigadores de **Theori**. La urgencia se debe al potencial de que usuarios locales sin privilegios obtengan privilegios de root en los sistemas afectados. ## CVE-2026-31431: La Vulnerabilidad 'Copy Fail' Rastreable como **CVE-2026-31431**, esta falla de seguridad reside dentro de la interfaz del algoritmo criptográfico AEAD de algif en el kernel de Linux. La vulnerabilidad permite a usuarios locales escalar privilegios escribiendo cuatro bytes controlados en la caché de páginas de cualquier archivo legible. Esto les otorga acceso root en sistemas Linux sin parches. ## Exploit de Prueba de Concepto Liberado Investigadores de **Theori** divulgaron públicamente la vulnerabilidad y liberaron un exploit de prueba de concepto (PoC) escrito en Python. Según los investigadores, el exploit es altamente confiable, logrando acceso root "100% confiable" en dispositivos **Ubuntu 24.04 LTS**, **Amazon Linux 2023**, **RHEL 10.1** y **SUSE 16**. Además, **Theori** afirma que el mismo script de exploit puede ser utilizado contra casi cualquier distribución de Linux lanzada desde 2017 con una versión de kernel vulnerable. "Mismo script, cuatro distribuciones, cuatro shells root — en una sola toma. El mismo binario de exploit funciona sin modificaciones en cada distribución de Linux", afirmó **Theori**. "Si su kernel fue compilado entre 2017 y el parche — lo que cubre esencialmente cada distribución de Linux principal — está dentro del alcance." ## Esfuerzos de Parcheo y Retrasos Iniciales Si bien las principales distribuciones de Linux han comenzado a emitir actualizaciones de kernel para abordar la vulnerabilidad, **Will Dormann**, analista principal de vulnerabilidades en Tharros, señaló que las actualizaciones oficiales no estaban disponibles en el momento del aviso de **Theori**.  *Obteniendo shell root en cuatro distribuciones de Linux (Theori)* ## Directiva y Recomendaciones de CISA El viernes, **CISA** añadió la vulnerabilidad 'Copy Fail' a su Catálogo de Vulnerabilidades Conocidas y Explotadas (KEV). Esta acción exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) parcheen sus endpoints y servidores Linux antes del 15 de mayo, según lo estipulado por la Directiva Operacional Vinculante (BOD) 22-01. "Este tipo de vulnerabilidad es un vector de ataque frecuente para actores cibernéticos maliciosos y representa riesgos significativos para la empresa federal", advirtió la agencia de ciberseguridad de EE. UU. **CISA** instó a las agencias a "Aplicar mitigaciones según las instrucciones del proveedor, seguir la guía aplicable de BOD 22-01 para servicios en la nube, o descontinuar el uso del producto si las mitigaciones no están disponibles." Si bien BOD 22-01 se dirige específicamente a agencias del gobierno de EE. UU., **CISA** aconseja encarecidamente a todos los equipos de seguridad que prioricen el parcheo de **CVE-2026-31431** para asegurar sus redes. ## Historial Reciente de Vulnerabilidades en el Kernel de Linux Este incidente sigue de cerca a otra vulnerabilidad de escalada de privilegios root de alta severidad, **CVE-2026-41651** (apodada Pack2TheRoot), que fue parcheada por las distribuciones de Linux el mes pasado. Esta vulnerabilidad había persistido durante más de una década en el demonio PackageKit. [](https://hubs.li/Q04crVgD0)