Investigadores de ciberseguridad han revelado detalles de una falla de escalada de privilegios locales (LPE) de Linux que podría permitir a usuarios locales sin privilegios obtener acceso root.
Esta vulnerabilidad de alta gravedad, rastreada como CVE-2026-31431 (puntuación CVSS: 7,8), ha recibido el nombre en código Copy Fail de Xint.io y Theori.
«Un usuario local sin privilegios puede escribir 4 bytes controlados en la caché de la página de un archivo legible en un sistema Linux y usarlo para obtener root», dijo el equipo de investigación de vulnerabilidades Xint.io y Theori.
El núcleo de esta vulnerabilidad se debe a una falla lógica en el subsistema criptográfico del kernel de Linux, específicamente en el módulo algif_aead. Este problema se introdujo en una confirmación del código fuente realizada en agosto de 2017.
La explotación exitosa de esta falla podría permitir que un simple script Python de 732 bytes edite un binario setuid y obtenga root en casi cualquier distribución de Linux enviada desde 2017, incluidos Amazon Linux, RHEL, SUSE y Ubuntu. El exploit de Python consta de cuatro pasos.
Abra el socket AF_ALG y vincúlelo a authencesn(hmac(sha256),cbc(aes)). Construya la carga útil del código shell. Activa una operación de escritura en la copia almacenada en caché del kernel de ‘/usr/bin/su’. Llame a execve(«/usr/bin/su») para cargar el código shell inyectado y ejecutarlo como root.
Aunque esta vulnerabilidad no se puede explotar de forma independiente y remota, un usuario local sin privilegios puede obtener acceso a la raíz simplemente corrompiendo el caché de la página de un binario setuid. Las mismas primitivas también tienen implicaciones entre contenedores porque todos los procesos del sistema comparten la caché de la página.
En respuesta a esta divulgación, las distribuciones de Linux publicaron sus propios avisos.
El error de copia se refleja en otra vulnerabilidad LPE del kernel de Linux, Dirty Pipe (CVE-2022-0847), que permite a un usuario sin privilegios combinar datos en la caché de páginas de archivos de solo lectura y, en última instancia, sobrescribir archivos confidenciales en el sistema y potencialmente ejecutar código.
«Los fallos de copia son primitivos de la misma clase en diferentes subsistemas», dijo David Brumley de Bugcrowd. «Una optimización in situ de 2017 en algif_aead permite que las páginas de caché de páginas ingresen a la lista de dispersión de destinos de escritura del kernel para operaciones AEAD enviadas a través de un socket AF_ALG. Un proceso sin privilegios puede luego enviar un empalme() a ese socket y completar una escritura pequeña y específica en el caché de páginas para un archivo que no es de su propiedad».
Lo que hace que esta vulnerabilidad sea peligrosa es que puede activarse de manera confiable y no requiere una condición de carrera ni una compensación del kernel. Además, el mismo exploit funciona en todas las distribuciones.
«Esta vulnerabilidad es única porque tiene cuatro características que rara vez aparecen juntas: portabilidad, tamaño pequeño, sigilo y naturaleza entre contenedores», dijo un portavoz de Xint.io a The Hacker News en un comunicado. «Esto mejora los privilegios de todas las cuentas de usuario, sin importar el nivel bajo, al acceso administrativo completo. También permite evitar el sandboxing y funciona en todas las versiones y distribuciones de Linux».
Source link
