Una grave vulnerabilidad de seguridad que afecta a casi todas las versiones del sistema operativo Linux ha tomado desprevenidos a los defensores y se han apresurado a parchearla después de que investigadores de seguridad publicaron un código de explotación que dio a los atacantes un control total sobre los sistemas vulnerables.
El gobierno de Estados Unidos dice que el error, llamado «CopyFail», actualmente está siendo explotado y utilizado activamente en operaciones de piratería maliciosas.
El error, oficialmente rastreado como CVE-2026-31431, fue descubierto en las versiones 7.0 y anteriores del kernel de Linux, divulgado al equipo de seguridad del kernel de Linux a fines de marzo y parcheado aproximadamente una semana después. Sin embargo, muchas distribuciones de Linux que dependen de núcleos vulnerables aún no están completamente parcheadas, lo que deja a los sistemas que ejecutan versiones de Linux afectadas en riesgo de verse comprometidos.
Linux se utiliza ampliamente en entornos corporativos y ejecuta las computadoras que alimentan muchos de los centros de datos del mundo.
El sitio web CopyFail afirma que el mismo script corto de Python «raíza cualquier distribución de Linux enviada desde 2017». Según Theori, la empresa de seguridad que descubrió CopyFail, la vulnerabilidad se encontró en varias versiones de Linux ampliamente utilizadas, incluidas Red Hat Enterprise Linux 10.1, Ubuntu 24.04 (LTS), Amazon Linux 2023 y SUSE 16.
El ingeniero y desarrollador de DevOps, Jorijn Schrijvershof, escribió en una publicación de blog que el exploit funciona en las versiones de Debian y Fedora, así como en Kubernetes, que se basa en el kernel de Linux. Schrijvershof explicó que el error funciona en «casi todas las distribuciones modernas» de Linux, dándole un «radio de explosión inusualmente grande».
El error se llama «CopyFail» porque el componente afectado dentro del kernel de Linux, el núcleo del sistema operativo que tiene acceso prácticamente completo a todo el dispositivo, no copia ciertos datos cuando debería. Esto corrompe los datos confidenciales dentro del kernel y permite que un atacante aproveche el acceso del kernel al resto del sistema, incluidos los datos del kernel.
Este error es particularmente problemático porque permite a los usuarios normales con acceso limitado obtener acceso administrativo completo en los sistemas Linux afectados. Un compromiso exitoso de un servidor dentro de un centro de datos podría brindarle a un atacante acceso a todas las aplicaciones, servidores y bases de datos de una gran cantidad de clientes empresariales y, potencialmente, acceder a otros sistemas en la misma red o centro de datos.
Aunque el error CopyFail no se puede explotar solo a través de Internet, se puede convertir en un arma cuando se utiliza junto con exploits que funcionan a través de Internet. Según Microsoft, si el error CopyFail se combina con otra vulnerabilidad distribuida a través de Internet, un atacante podría utilizar la falla para obtener acceso raíz a un servidor afectado. Los usuarios que operan computadoras Linux con núcleos vulnerables también podrían ser engañados para que abran enlaces o archivos adjuntos maliciosos que desencadenen vulnerabilidades.
Este error también se puede inyectar mediante un ataque a la cadena de suministro. En este ataque, un atacante malintencionado piratea la cuenta de un desarrollador de código abierto e inyecta malware en el código, comprometiendo una gran cantidad de dispositivos a la vez.
Dados los riesgos para las redes corporativas federales, la agencia de ciberseguridad estadounidense CISA ha ordenado a todas las agencias federales civiles que parcheen los sistemas afectados antes del 15 de mayo.
Si compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta la independencia editorial.
Source link
