Acceso root con un solo comando: una vulnerabilidad en el núcleo de Linux se convierte en llave maestra para millones de servidores
Un fallo en Linux pasó desapercibido desde 2017, pero ahora lo han notado todos — y no solo los investigadores.
La vulnerabilidad en el kernel de Linux, llamada CopyFail, ya ha empezado a causar problemas a administradores de servidores en todo el mundo. A los pocos días de que se publicara un exploit funcional, los atacantes comenzaron a escanear sistemas en busca de la falla que permite obtener control total del dispositivo.
El problema recibió el identificador CVE-2026-31431. El error afecta al kernel de Linux y permite a un usuario con privilegios mínimos elevar sus privilegios hasta root en sistemas sin parchear. La vulnerabilidad está relacionada con la posibilidad de modificar datos que son de solo lectura.
Los especialistas de Theori descubrieron el error con la ayuda de una herramienta de IA y lo comunicaron al equipo de seguridad de Linux el 23 de marzo. Las principales distribuciones de Linux publicaron parches antes de la divulgación pública del problema, tras lo cual Theori publicó detalles técnicos y un exploit de demostración.
El código del exploit está escrito en Python y ya funciona con éxito contra Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 y SUSE 16. Los expertos advirtieron que potencialmente son vulnerables prácticamente todas las versiones populares del kernel de Linux publicadas desde 2017. En Theori subrayaron que el mismo exploit funciona sin cambios en distintas distribuciones de Linux y permite obtener acceso root 'con una sola ejecución'.
La situación llamó rápidamente la atención de la Cybersecurity and Infrastructure Security Agency. La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos agregó CopyFail al catálogo de vulnerabilidades explotadas activamente y exigió a las agencias federales instalar las actualizaciones antes del 15 de mayo.
Microsoft también informó sobre signos de ataques. En la compañía declararon que, después de que se publicó el exploit de demostración, las soluciones de protección Microsoft Defender comenzaron a registrar los primeros intentos de sondear servidores vulnerables. Según Microsoft, en los próximos días la cantidad de ataques podría aumentar drásticamente. El peligro de CopyFail radica en la facilidad de explotación. El ataque no requiere interacción del usuario. Al atacante le basta obtener un acceso mínimo al sistema, tras lo cual la vulnerabilidad permite capturar rápidamente el control total del servidor.
La causa del problema radica en el mecanismo de procesamiento de ciertas operaciones criptográficas dentro del kernel de Linux. El error permite interferir con datos en caché de una manera que originalmente no debía estar controlada por los usuarios. Tras la aparición de un exploit estable, esa característica de implementación se convirtió de hecho en un método universal de escalada de privilegios.