Alerta de Mist: vulnerabilidad de «fallo de copia en Linux» extremadamente explotable; se recomienda actualizar el kernel lo antes posible

El director de seguridad de la información de SlowMist (SlowMist) 23pds publicó en X el 30 de abril que, en sistemas Linux, se encontró una vulnerabilidad de lógica llamada «Copy Fail» (CVE-2026-31431), que puede aprovecharse con suma facilidad; SlowMist recomienda a los usuarios actualizar el kernel de forma inmediata.

Información básica de la vulnerabilidad y alcance afectado

Según el informe técnico del 29 de abril del equipo de investigación Xint Code, CVE-2026-31431 es una vulnerabilidad de lógica en la plantilla de cifrado/validación de núcleo de Linux (AEAD) algif_aead.c, que aprovecha una llamada en cadena de AF_ALG + la función splice(). Esto permite a usuarios locales sin privilegios realizar una escritura controlada determinista de 4 bytes en la caché de páginas de archivos arbitrarios legibles del sistema y, posteriormente, obtener privilegios de root al comprometer binarios setuid.

Según el informe de Xint Code, se ha probado y confirmado que las distribuciones y versiones de kernel afectadas incluyen:

Ubuntu 24.04 LTS: kernel 6.17.0-1007-aws

Amazon Linux 2023: kernel 6.18.8-9.213.amzn2023

RHEL 10.1: kernel 6.12.0-124.45.1.el10_1

SUSE 16: kernel 6.12.0-160000.9-default

Según el informe de Xint Code, la causa raíz de esta vulnerabilidad radica en una optimización en su lugar (in-place) de AEAD introducida en 2017 en algif_aead.c (commit 72548b093ee3), que hace que las páginas de caché provenientes de splice() se coloquen en una lista dispersa escribible; junto con la operación de escritura temporal del encapsulador AEAD authenticsn, esto conforma una ruta explotable.

Cronograma de divulgación coordinada y medidas de remediación

Según el cronograma divulgado por Xint Code el 29 de abril, CVE-2026-31431 se reportó el 23 de marzo de 2026 al equipo de seguridad del kernel de Linux. El parche (a664bf3d603d) se completó su revisión el 25 de marzo, se envió al kernel principal el 1 de abril, el 22 de abril se asignó formalmente el CVE y el 29 de abril se divulgó públicamente.

Según el informe de Xint Code, las medidas de remediación incluyen: actualizar los paquetes de software del kernel de la distribución (las distribuciones principales deberían publicar este parche mediante la actualización normal del kernel). Si se necesita mitigación inmediata, se puede impedir la creación de sockets AF_ALG mediante seccomp, o ejecutar el siguiente comando para añadir el módulo algif_aead a una lista negra: echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf.

Según el informe de Xint Code, esta vulnerabilidad también afecta escenarios de cruce de límites entre contenedores, debido a que la caché de páginas se comparte con el host; los impactos relacionados con la evasión de contenedores de Kubernetes se divulgarán en la segunda parte.

Preguntas frecuentes

¿Cuál es el alcance del impacto de CVE-2026-31431?

Según el informe de Xint Code del 29 de abril y la alerta de 23pds de SlowMist del 30 de abril, CVE-2026-31431 afecta a casi todas las distribuciones Linux principales publicadas desde 2017, incluyendo Ubuntu, Amazon Linux, RHEL y SUSE; un script de Python de 732 bytes puede obtener privilegios de root sin necesidad de privilegios.

¿Cuál es la mitigación temporal de esta vulnerabilidad?

Según el informe de Xint Code del 29 de abril, se puede bloquear la creación de sockets AF_ALG mediante seccomp, o ejecutar echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf para añadir el módulo algif_aead a la lista negra y mitigar de forma inmediata.

¿Cuándo se publicó el parche de CVE-2026-31431?

Según el cronograma divulgado por Xint Code el 29 de abril, el parche (a664bf3d603d) se envió al kernel principal de Linux el 1 de abril de 2026; las distribuciones principales deberían publicar este parche mediante la actualización normal de paquetes de kernel.