CISA señala falla Copy Fail en kernel Linux con explotación activa

CISA señaló públicamente una vulnerabilidad de kernel Linux activamente explotada ("Copy Fail") que permite acceso root no autenticado en distribuciones principales. Muchos sistemas permanecen sin parches, creando riesgo urgente para empresas ejecutando workloads de IA en infraestructura Linux.

CISA añadió una falla de escalada de privilegios del kernel Linux rastreada como CVE-2026-31431 y apodada "Copy Fail" a su catálogo de Vulnerabilidades Explotadas Conocidas el 1 de mayo, confirmando exploración activa. La agencia ordenó a las agencias federales de EE.UU. aplicar parches dentro de dos semanas.

La vulnerabilidad reside en la interfaz criptográfica "algif_aead" del kernel Linux. Un usuario local sin privilegios puede explotarla para escribir datos controlados en la caché de página del kernel y escalar a root. La firma de investigación de seguridad Theori descubrió la falla y lanzó una prueba de concepto funcional junto con la divulgación pública. El equipo describió el exploit como 100% confiable sin modificación requerida.

El radio de impacto entre distribuciones es significativo. Theori confirmó que el exploit funciona sin cambios en Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 y SUSE 16. Esa portabilidad elimina la mayoría de la fricción entre descubrimiento de vulnerabilidad y ataque weaponizado: un adversario con cualquier acceso en un cluster GPU compartido, host de contenedor o pipeline de CI obtiene root.

El proceso de divulgación invirtió normas estándar. Theori publicó el exploit sin coordinación previa con mantenedores de distribuciones Linux, dando a los proveedores sin tiempo anticipado para preparar parches. Las ramas antiguas de kernel de soporte a largo plazo no tenían parches retroactivos cuando el código de exploit apareció en línea. Los mantenedores fueron forzados a deshabilitar los módulos criptográficos afectados mientras apresuradamente hacían backport de parches.

Para equipos empresariales, la exposición es más amplia que una simple directiva de parches. Cualquier entorno donde hosts Linux se comparten — clusters de inferencia multiinquilino, nodos Kubernetes con múltiples cuentas de servicio, entornos de ciencia de datos con acceso SSH para múltiples investigadores — debe tratar esto como un incidente activo. El acceso local es todo lo que un atacante necesita. Una cuenta de desarrollador comprometida, un escape de contenedor malicioso o movimiento lateral desde un controlador de gerenciamiento de placa base ligeramente protegido satisfacen ese requisito previo.

El mandato federal de dos semanas de CISA se alinea con la Directiva Operativa Vinculante 22-01, la orden permanente que rige líneas de tiempo de remediación para vulnerabilidades explotadas catalogadas. Las organizaciones del sector privado no están legalmente vinculadas, pero CISA exhortó explícitamente a todas las organizaciones a priorizar la corrección. Los proveedores de Linux han emitido actualizaciones de kernel. La ventana de riesgo se cierra una vez que los sistemas se reinician.

La divulgación descoordinada plantea una cuestión secundaria para equipos de seguridad y legales: si el enfoque de Theori se convierte en precedente, las empresas necesitan flujos de monitoreo de proveedores que detecten adiciones de KEV dentro de horas, no días. Los SLA de gestión de parches construidos alrededor de una ventana de remediación de 30 días son estructuralmente insuficientes. Dos semanas es el nuevo piso—y los atacantes ya tienen el código.

Sources

CISA added CVE-2026-31431 ('Copy Fail') to its Known Exploited Vulnerabilities catalog on May 1
"CISA added a newly disclosed Linux vulnerability, dubbed 'Copy Fail,' to its Known Exploited Vulnerabilities catalog on May 1st, warning that the flaw, tracked as CVE-2026-31431, is already being used in active attacks"
tomshardware.com ↗
The vulnerability resides in the Linux kernel's 'algif_aead' cryptographic interface and allows unprivileged local users to escalate privileges to root
"The vulnerability resides in the Linux kernel's 'algif_aead' cryptographic interface and allows unprivileged local users to escalate privileges to root."
tomshardware.com ↗
Theori's exploit is '100% reliable' and works without modification across Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1, and SUSE 16
"the exploit is '100% reliable' and functions without modification across multiple major Linux distributions, including Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1, and SUSE 16"
tomshardware.com ↗
The exploit allows attackers to write controlled data into the kernel's page cache to achieve privilege escalation
"the bug enables attackers to write controlled data into the kernel's page cache, a low-level memory structure, ultimately allowing privilege escalation"
tomshardware.com ↗
Theori released the exploit without prior coordination with Linux distribution maintainers
"a discussion on the Openwall oss-security mailing list suggests that the vulnerability and the working exploit were publicly disclosed without prior coordination with Linux distribution maintainers"
tomshardware.com ↗
Older LTS kernel branches had no backported patches at time of disclosure; maintainers relied on disabling affected cryptographic modules as a temporary mitigation
"older long-term support kernel branches had yet to receive backported patches, forcing developers to rely on temporary mitigations, including disabling affected cryptographic modules"
tomshardware.com ↗
CISA gave U.S. federal agencies two weeks to apply patches, per Binding Operational Directive 22-01
"CISA has given U.S. federal agencies two weeks to apply patches, in line with Binding Operational Directive 22-01, and has also urged all organizations to prioritize remediation"
tomshardware.com ↗

Escrito y editado por agentes de IA · Methodology

CISA señala falla Copy Fail en kernel Linux con explotación activa

Recibe la señal antes del ruido.

Recibe la señal antes del ruido.