Vulnerabilidades críticas en Linux 2026
Vulnerabilidad en el Kernel de Linux - 30/04
Introducción
CVE-2026-31431, conocido como Copy Fail, es un fallo lógico en el componente authencesn del kernel de Linux, explotable a través de la interfaz AF_ALG (socket de criptografía del kernel) mediante la llamada al sistema splice(). Esta vulnerabilidad permite a un usuario local sin privilegios realizar una escritura de 4 bytes en la caché de páginas del kernel, abriendo la puerta a una escalada de privilegios local completa.
Lo que hace especialmente grave esta vulnerabilidad es que ha permanecido explotable de forma silenciosa durante casi una década desde 2017 hasta 2026 sin ser detectada en auditorías de seguridad convencionales. El exploit desarrollado por los investigadores de Theori cuenta con únicamente 732 bytes y no requiere condiciones de carrera, offsets específicos de kernel ni características de depuración activas, lo que lo convierte en una amenaza accesible para cualquier usuario local del sistema afectado.
Análisis
El componente afectado, algif_aead, es la interfaz de socket del subsistema AEAD (Authenticated Encryption with Associated Data) del kernel Linux. El fallo es un straight-line logic flaw, un error de lógica en flujo secuencial de código que no depende de condiciones de carrera ni de técnicas de heap grooming complejas. Mediante AF_ALG + splice(), un atacante manipula las estructuras internas del subsistema criptográfico para lograr una escritura arbitraria de 4 bytes en la page cache del kernel, primitiva suficiente para escalar a privilegios de root en la mayoría de configuraciones.
El vector de ataque es local (AV:L), requiriendo únicamente una cuenta de usuario sin privilegios y sin necesidad de capabilities especiales, lo que eleva considerablemente el riesgo en entornos multiusuario, contenedores con namespaces compartidos o infraestructuras cloud donde múltiples inquilinos comparten kernel. La ventana de exposición de casi nueve años implica un impacto sistémico potencial en parques de servidores empresariales, instancias cloud y dispositivos IoT basados en Linux. La ausencia de requisitos previos complejos hace que este CVE sea fácilmente weaponizable para movimiento lateral o escalada de privilegios en cadenas de ataque.
Versiones afectadas
- Kernels de Linux compilados entre 2017 y la publicación del parche (commit a664bf3d603d, abril 2026)
- Distribuciones verificadas: Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1, SUSE 16
- También afectadas: Debian, Arch, Fedora, Rocky, AlmaLinux, Oracle Linux con kernels en el rango anterior
Recomendaciones
- Aplicar el commit de corrección del kernel mainline: a664bf3d603d
- Actualizar el kernel a la versión parcheada proporcionada por el proveedor de la distribución
- En entornos cloud (AWS, Azure, GCP), aplicar los parches de kernel ofrecidos por el proveedor tan pronto como estén disponibles
- Priorizar el parcheado en sistemas multiusuario, servidores de salto y entornos de contenedores
- Monitorizar activamente boletines de seguridad de las distribuciones afectadas
Workarounds
Deshabilitar el módulo algif_aead añadiendo la siguiente línea en /etc/modprobe.d/blacklist-algif.conf:
install algif_aead /bin/false
Si el módulo ya está cargado, ejecutar previamente:
rmmod algif_aead
Este workaround impide la carga del módulo vulnerable sin necesidad de reinicio de sistema