CopyFail - CVE-2026-31431

Title: Copy Fail: 732 bytes hasta root en todas las principales distribuciones de Linux

• Copy Fail (CVE-2026-31431) es una vulnerabilidad crítica en la plantilla de cifrado authencesn del kernel de Linux que permite a un usuario local sin privilegios obtener permisos de root. Con un exploit de 732 bytes, se puede modificar un binario setuid para obtener privilegios de root en las principales distribuciones de Linux como Ubuntu, Amazon Linux, RHEL y SUSE.
• La vulnerabilidad proviene de un error lógico en la forma en que las páginas de caché de página se colocan en una scatterlist escribible, lo que permite una escritura controlada de 4 bytes en la caché de página de cualquier archivo legible. Como esto evita la ruta de escritura normal, las sumas de verificación en disco permanecen sin cambios, lo que permite ejecutar el exploit de forma sigilosa.
• El exploit aprovecha el tipo de socket AF_ALG y la llamada al sistema splice() para pasar páginas de la caché de página al subsistema de cifrado. Después, la implementación del algoritmo authencesn escribe datos más allá del búfer de salida previsto y sobre esas páginas de caché de página.
  Este bug es altamente portable entre distribuciones y arquitecturas, requiere un código mínimo (un script corto de Python) e incluso puede permitir escapar de contenedores porque la caché de página se comparte en todo el sistema.
• La causa raíz es la combinación del soporte AEAD de AF_ALG, la ruta de splice() que expone páginas de caché de página y, en particular, la manera en que authencesn usa el búfer de destino como espacio temporal desde la optimización in-place de 2017.
  El exploit apunta a binarios setuid comunes como /usr/bin/su. Sobrescribe parte del binario con shellcode y hace que, cuando el binario se cargue desde la caché de página corrupta, se ejecute con privilegios de root.
• La corrección aplicada al kernel principal revierte AF_ALG AEAD a operaciones out-of-place, separando efectivamente las scatterlist de origen y destino y eliminando la capacidad de escribir en páginas de caché de página encadenadas.
  Las soluciones incluyen parches del kernel y actualizaciones de paquetes de la distribución; como mitigación inmediata, se puede bloquear la creación de sockets AF_ALG mediante seccomp o agregar el módulo algif_aead a la lista negra.
• Esta vulnerabilidad fue descubierta por el equipo de investigación Xint Code usando herramientas de investigación de seguridad asistidas por IA, a partir de una idea inicial de Taeyang Lee de Theori.