La CISA advierte sobre un grave error de CopyFail en Linux que afecta servidores

Una grave vulnerabilidad de seguridad que afecta casi todas las versiones del sistema operativo Linux ha dejado a los defensores sorprendidos y apresurados por aplicar parches, luego de que investigadores de seguridad liberaran públicamente un código de explotación que permite a los atacantes tomar control completo de sistemas vulnerables.

El gobierno de EE.UU. informó que el error, denominado CopyFail, está siendo explotado activamente, lo que significa que se utiliza en campañas de hacking maliciosas.

El error, oficialmente rastreado como CVE-2026-31431 y descubierto en versiones del núcleo de Linux 7.0 y anteriores, fue revelado al equipo de seguridad del núcleo de Linux a finales de marzo y se corrigió después de aproximadamente una semana. Sin embargo, los parches aún no han llegado a muchas distribuciones de Linux que dependen del núcleo vulnerable, dejando a cualquier sistema que ejecute una versión de Linux afectada en riesgo de compromiso.

Linux es ampliamente utilizado en entornos empresariales, operando las computadoras que manejan gran parte de los centros de datos del mundo.

El sitio web de CopyFail indica que el mismo breve script en Python "accede a todas las distribuciones de Linux enviadas desde 2017". Según la firma de seguridad Theori, que descubrió CopyFail, la vulnerabilidad se verificó en varias versiones ampliamente utilizadas de Linux, incluyendo Red Hat Enterprise Linux 10.1, Ubuntu 24.04 (LTS), Amazon Linux 2023, así como SUSE 16.

El ingeniero de DevOps y desarrollador Jorijn Schrijvershof escribió en un blog que el exploit funciona en versiones de Debian y Fedora, así como en Kubernetes, que depende del núcleo de Linux. Schrijvershof describió el error como teniendo un "radio de explosión inusualmente grande" ya que funciona en "casi todas las distribuciones modernas" de Linux.

El error se llama CopyFail porque el componente afectado en el núcleo de Linux, el núcleo del sistema operativo que tiene acceso casi completo a todo el dispositivo, no copia ciertos datos cuando debería. Esto corrompe datos sensibles dentro del núcleo, permitiendo al atacante aprovechar el acceso del núcleo al resto del sistema, incluyendo sus datos.

Si se explota, el error es particularmente problemático porque permite a un usuario regular, con acceso limitado, obtener acceso completo de administrador en un sistema Linux afectado. Un compromiso exitoso de un servidor en un centro de datos podría permitir a un atacante acceder a cada aplicación, servidor y base de datos de numerosos clientes corporativos, y potencialmente obtener acceso a otros sistemas en la misma red o centro de datos.

El error CopyFail no puede ser explotado a través de internet por sí solo, pero puede ser utilizado si se combina con un exploit que funcione a través de internet. Según Microsoft, si el error CopyFail se encadena con otra vulnerabilidad que se puede entregar a través de internet, un atacante podría usar la falla para obtener acceso root a un servidor afectado. Un usuario que opera una computadora Linux con un núcleo vulnerable también podría ser engañado para abrir un enlace o archivo malicioso que active la vulnerabilidad.

El error también podría ser inyectado mediante ataques a la cadena de suministro, en los que actores maliciosos hackean la cuenta de un desarrollador de código abierto y plantan el malware en su código para comprometer un gran número de dispositivos de una sola vez.

Dada la amenaza para la red empresarial federal, la agencia de ciberseguridad de EE.UU., CISA, ha ordenado a todas las agencias federales civiles que parchen cualquier sistema afectado antes del 15 de mayo.

Temas