CISA añade la falla de copia fallida de Linux a la lista de errores explotados

Una vulnerabilidad de seguridad en Linux recientemente revelada ha llamado la atención de los oficiales cibernéticos de EE. UU. después de que investigadores advirtieran que los atacantes podrían usar un pequeño script en Python para obtener acceso root en los sistemas afectados.

Resumen

• CISA añadió Copy Fail a su lista de errores explotados tras informes de uso activo en Linux.
• Los investigadores dijeron que los atacantes necesitan acceso previo al código antes de usar la falla para obtener derechos de root.
• Las exchanges de criptomonedas y nodos pueden revisar la exposición de Linux porque muchos sistemas críticos ejecutan distribuciones afectadas.

La falla, conocida como Copy Fail y rastreada como CVE-2026-31431, afecta a muchas distribuciones de Linux lanzadas desde 2017. CISA ha añadido el error a su catálogo de Vulnerabilidades Explotadas Conocidas, citando riesgo de explotación activa.

Copy Fail es un error de escalada de privilegios local en el kernel de Linux. No proporciona acceso remoto por sí mismo. Un atacante debe ya tener ejecución de código en el sistema antes de usar la falla para obtener derechos de root.

Los investigadores de seguridad dijeron que la falla afecta a las principales distribuciones de Linux, incluyendo Ubuntu, Red Hat, SUSE y Amazon Linux. Microsoft también advirtió que el error podría afectar cargas de trabajo en la nube y entornos Kubernetes.

Los investigadores advierten sobre un camino de explotación simple

Theori y Xint Code vincularon el problema al subsistema de criptografía del kernel de Linux. Los investigadores dijeron que la falla permite a un atacante corromper la caché de páginas en memoria de archivos legibles, incluyendo binarios privilegiados.

El investigador Miguel Ángel Durán describió la explotación como inusualmente simple, diciendo: “10 líneas de Python” podrían ser suficientes para obtener acceso root en sistemas afectados. Otro investigador calificó la falla como “insana”, reflejando preocupación por lo pequeña que puede ser la explotación.

Además, CISA añadió CVE-2026-31431 a su catálogo de Vulnerabilidades Explotadas Conocidas el 1 de mayo. La agencia dijo que el kernel de Linux contiene una falla en la transferencia incorrecta de recursos que puede permitir escalada de privilegios.

La lista KEV significa que las agencias civiles federales deben seguir la línea de tiempo de remediación de CISA. Las empresas privadas también suelen usar el catálogo para priorizar las tareas de parcheo, especialmente cuando existe código de explotación público.

Las empresas de criptomonedas pueden revisar la exposición de Linux

Linux impulsa muchas exchanges de criptomonedas, nodos blockchain, validadores, custodios y sistemas de trading en la nube. Eso hace que aplicar parches sea importante para las empresas que operan infraestructura crítica en distribuciones afectadas.

La falla no apunta directamente a billeteras de criptomonedas o blockchains. Sin embargo, podría crear riesgo si un atacante primero obtiene acceso a un servidor Linux y luego usa Copy Fail para obtener control root.

El CEO de Theori, Brian Pak, dijo que el equipo reportó la vulnerabilidad de forma privada al equipo de seguridad del kernel de Linux el 23 de marzo. Los parches llegaron al kernel principal el 1 de abril, mientras que la CVE fue asignada el 22 de abril.

Las empresas de seguridad han instado a los usuarios a aplicar los kernels parchados cuando estén disponibles. Sophos dijo que existe código de explotación de prueba de concepto público y que las organizaciones deben priorizar las correcciones para hosts Linux multitenant y plataformas de contenedores.