CVE-2026-31431 Copy Fail es una vulnerabilidad de elevacion local de privilegios del kernel de Linux que paso muy rapido de una divulgacion tecnica a una prioridad operativa. A fecha de 2 de mayo de 2026, el registro oficial muestra una falla de alta severidad en el componente algif_aead, mitigaciones publicadas por grandes distribuidores de Linux y su inclusion en el catalogo CISA Known Exploited Vulnerabilities desde el 1 de mayo de 2026.
Este articulo se mantiene deliberadamente estrecho. No reproduce el exploit, no estima prevalencia y no repite claims de terceros sobre su fiabilidad. Se limita a lo que las fuentes oficiales confirman de verdad: que afecta la vulnerabilidad, donde importa mas la exposicion, que mitigaciones temporales existen y como validar el estado del parche sin crear puntos ciegos ni regresiones operativas.
Para el proceso mas amplio de auditoria de entornos aislados, vea Auditoria de seguridad de una red air-gapped: como auditar un entorno aislado sin falsa confianza. Para una guia complementaria sobre workflows y herramientas offline-capable, vea Que herramientas de seguridad funcionan en redes aisladas sin acceso a internet? Guia practica de workflows de seguridad offline-capable.
Que es CVE-2026-31431 (Copy Fail)?
CVE-2026-31431 es una vulnerabilidad del kernel de Linux en algif_aead, un componente ligado a la interfaz criptografica del kernel. El registro de NVD hereda la descripcion upstream de la ruta de correccion: el comportamiento vulnerable se corrige devolviendo algif_aead a una operacion out-of-place en lugar de mantener la logica mas compleja in-place introducida antes.
La severidad oficial que mas importa ahora para los defensores es la puntuacion kernel CNA de CVSS 3.1 7.8 HIGH, con el vector AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H. NVD tambien muestra la clasificacion CWE-669 y lista varias referencias de parches kernel.org asociadas a ramas estables.
En terminos operativos, los fabricantes estan tratando esto como un problema de local privilege escalation en el kernel de Linux. Eso importa porque una elevacion local de privilegios no es una frontera puramente academica. Si un atacante ya dispone de ejecucion de codigo como usuario normal, o puede ejecutar una carga no fiable en el lugar equivocado, una via fiable hasta root puede cambiar muy rapido la frontera de confianza de un bastion, un host compartido o un nodo de contenedores.
Lo que confirman hasta ahora los advisories oficiales
La imagen oficial ya es lo bastante clara como para sostener un triaje inmediato.
| Fuente | Lo que confirma | Por que importa |
|---|---|---|
| NVD / kernel CNA | algif_aead es el componente afectado; la puntuacion CNA CVSS es 7.8 HIGH; NVD muestra la CVE en CISA KEV. | Establece el identificador tecnico, la severidad y la senal actual de priorizacion. |
| Ubuntu | Fecha de divulgacion publica 29 de abril de 2026; articulo de mitigacion publicado el 30 de abril de 2026; impacto encuadrado como local privilege escalation, con el aspecto de contenedores tratado aparte. | Aporta orientacion defensiva concreta y caveats operativos. |
| SUSE | El estado de producto y paquete se expone publicamente en la pagina CVE de SUSE, con referencias de workaround y advisory. | Util para la validacion a nivel de paquete y el triaje de flota. |
| Red Hat | El boletin publico RHSB-2026-02 figura como Important y Ongoing; existen paginas publicas separadas para RHEL y OpenShift. | Confirma una gestion activa del fabricante y rutas de seguimiento especificas por producto. |
Una segunda senal operativa es el estado KEV. NVD indica explicitamente que esta CVE esta en el catalogo CISA Known Exploited Vulnerabilities, con Date Added: May 1, 2026 y Due Date: May 15, 2026. Aunque su organizacion no siga plazos federales de EE. UU., sigue siendo una senal de priorizacion util: la vulnerabilidad ya no es solo "nueva" o "interesante". Ya esta en la clase de problemas que los defensores deberian tratar como urgentes.
Donde mas importa Copy Fail
No se trata de una vulnerabilidad edge expuesta a Internet y explotable sin autenticacion. La exposicion depende de la existencia de un punto de apoyo local o de una via de ejecucion en un sistema Linux. Aun asi, eso deja varios escenarios de alto valor.
Hosts con usuarios locales o ejecucion local de codigo
Ubuntu indica que, en despliegues sin cargas contenerizadas, la vulnerabilidad permite a un usuario local elevar privilegios hasta root. Eso significa que la primera pregunta no es "Mi servicio expuesto a Internet es explotable directamente desde fuera?" La primera pregunta es si el host ya puede ejecutar codigo no fiable o semi-fiable bajo una cuenta de pocos privilegios.
Ejemplos tipicos:
- hosts Linux de administracion compartidos
- bastiones o jump hosts usados por varios equipos
- runners de CI y sistemas de build
- servidores multiusuario con acceso shell
- servidores de gestion adyacentes a la infraestructura de identidad
Entornos contenerizados
Ubuntu tambien documenta una preocupacion separada para despliegues contenerizados que puedan ejecutar cargas potencialmente maliciosas: la vulnerabilidad puede facilitar container escape scenarios. La orientacion publica de OpenShift y ROSA de Red Hat confirma que el fabricante trata la exposicion managed y OpenShift como una pista operativa aparte, que es el encuadre defensivo correcto.
Esa distincion importa. Un equipo de flota no deberia escribir "container escape" como una afirmacion general para cualquier despliegue Kubernetes o contenerizado. La formulacion correcta es mas estrecha: la documentacion del fabricante dice que los entornos contenerizados merecen atencion separada y que el triaje de nodos de contenedores no debe mezclarse con una cola simple de parcheo de puestos y servidores.
Sistemas administrativos y sistemas adyacentes a identidad
Aunque se trata de una vulnerabilidad del kernel de Linux y no de una vulnerabilidad de Active Directory o Entra, un root local en el host Linux equivocado sigue importando a los equipos de identidad e infraestructura. Bastiones, nodos de provisioning, runners de automatizacion, appliances VPN, PAM jump hosts y sistemas Linux usados para administrar Windows o infraestructura cloud forman parte del plano efectivo de identidad. Una elevacion local de privilegios ahi puede cambiar el modelo de confianza alrededor de credentials, tokens, claves de gestion y rutas de automatizacion.
Esa es tambien la razon por la que los equipos que ya ejecutan Auditar la seguridad de Active Directory: checklist practica o Endurecimiento de Active Directory: que bloquear primero y como validarlo no deberian tratar los hosts Linux administrativos como algo fuera del perimetro de aseguramiento de identidad. Si sus rutas administrativas ya derivan con el tiempo, el mismo patron operativo descrito en Deriva del acceso privilegiado en Active Directory: como vuelven los derechos admin tras los audits suele aplicarse tambien a bastiones y tooling Linux adyacente.
Mitigaciones temporales y sus tradeoffs
La historia de la mitigacion temporal es importante porque la orientacion oficial del fabricante no la describe como un simple interruptor neutro.
Ubuntu indica que su equipo de seguridad publico una mitigacion que desactiva el modulo afectado algif_aead a traves del paquete kmod mientras se despliegan los paquetes del kernel corregidos. SUSE documenta por su parte un workaround similar que bloquea el modulo mediante configuracion modprobe.
Eso es util, pero trae tradeoffs.
La mitigacion no es neutra en el comportamiento
Ubuntu advierte explicitamente que la mitigacion desactiva un modulo usado para aceleracion criptografica por hardware. El comportamiento esperado es un fallback hacia funciones criptograficas en userspace, pero Ubuntu tambien indica que algunas aplicaciones pueden no manejar bien esa transicion. Ademas, las aplicaciones que ya estan en ejecucion pueden verse afectadas si el modulo se desactiva o descarga, y puede ser necesario un reinicio para forzar un comportamiento de fallback consistente.
Eso significa que la decision de mitigacion debe tratarse como un cambio operativo real, no como una simple bandera de emergencia sin efectos colaterales.
| Paso de mitigacion | Beneficio | Tradeoff a validar |
|---|---|---|
Desactivar algif_aead mediante la mitigacion proporcionada por el fabricante | Reduce la exposicion antes de que todos los fixes del kernel esten desplegados | Puede afectar el comportamiento criptografico acelerado por hardware y procesos de larga duracion |
| Descargar el modulo inmediatamente | Puede reducir la ventana de exposicion en sistemas en ejecucion | Puede requerir validacion de servicio o reinicio para asegurar rutas de fallback activas |
| Aplicar paquetes del kernel corregidos | Elimina la necesidad de una postura basada solo en workaround | Requiere disciplina normal de despliegue de kernel, planificacion de reinicios y validacion de version |
La regla practica es simple: si aplica el workaround, documente que es temporal, valide las aplicaciones dependientes de criptografia y confirme despues que el sistema llega a un estado de kernel corregido en vez de quedarse indefinidamente en una postura de mitigacion temporal.
Como comprobar la exposicion y el estado del parche
La secuencia mas segura es vendor-first. No asuma que un simple titular de version de kernel visto en redes sociales basta para saber si una flota esta expuesta.
Comprobaciones en Ubuntu
Ubuntu proporciona comandos concretos en su advisory:
uname -r
dpkg -l 'linux-image*' | grep ^ii
dpkg -l kmod
Ubuntu tambien documenta como verificar si el modulo afectado sigue cargado:
grep -qE '^algif_aead ' /proc/modules && echo "Affected module is loaded" || echo "Affected module is NOT loaded"
Estas comprobaciones son utiles incluso mas alla de Ubuntu porque reflejan la logica correcta: comprobar el kernel en ejecucion, comprobar los paquetes instalados y comprobar aparte el estado del modulo.
Comprobaciones en SUSE
SUSE expone una pagina CVE publica con estado de producto/paquete y versiones corregidas publicadas. Para entornos gestionados por SUSE, la ruta autoritativa es comparar los paquetes relacionados con el kernel instalados con las versiones listadas en la pagina CVE y los advisories enlazados, en lugar de basarse en una frase generica por familia de distribucion.
Comprobaciones en Red Hat
La pagina publica de boletines de Red Hat muestra RHSB-2026-02 como en curso, y Red Hat tambien publica orientacion publica para determinar si un producto esta afectado por una CVE concreta usando la base de datos CVE de Red Hat y los enlaces de advisory asociados. Red Hat tambien ha publicado paginas publicas separadas para RHEL y OpenShift sobre CVE-2026-31431, que es la via correcta para una validacion por producto.
Que registrar durante el triaje
Para cada sistema o grupo de clusters, registrar como minimo:
- version actual del kernel en ejecucion
- version del paquete del kernel instalado
- si
algif_aeadesta cargado - si se ha aplicado una mitigacion temporal
- estado del advisory del fabricante para esa linea de producto
- si sigue pendiente un reinicio tras parche o mitigacion
Eso basta para convertir un titular ruidoso sobre una vulnerabilidad en una cola real de remediacion. Si ya ejecuta revisiones recurrentes de infraestructura, la misma disciplina de prueba descrita en Auditoria recurrente de Active Directory: por que los audits anuales derivan y como funciona la supervision continua de postura aplica aqui: capturar el estado, repetir la verificacion tras la remediacion y conservar la prueba de que la mitigacion temporal se retiro de verdad.
Que validar despues de aplicar fixes
Una respuesta a Copy Fail no deberia terminar en "el paquete esta actualizado". La fase de validacion es donde suelen ocultarse mitigaciones temporales, reinicios pendientes y despliegues parciales.
| Area de validacion | Como luce el exito |
|---|---|
| Estado del kernel en ejecucion | El host esta ejecutando realmente el kernel corregido esperado, y no solo tiene el paquete presente en disco. |
| Estado del modulo | algif_aead esta desactivado o ausente donde la mitigacion temporal sigue siendo necesaria, y su estado se entiende tras el parcheo completo. |
| Estado del reinicio | Los sistemas que necesitan reinicio para completar la mitigacion o activar el kernel corregido no quedan en un estado ambiguo. |
| Comportamiento de la aplicacion | Los servicios dependientes de criptografia siguen funcionando correctamente despues de desactivar el modulo o sustituir el kernel. |
| Postura de nodos de contenedores | Los nodos que alojan cargas contenerizadas se verifican por la via del fabricante para OpenShift, ROSA, OSD o la guia especifica de la distribucion correspondiente. |
| Evidencia de flota | Cada entorno tiene una fuente de fabricante registrada, un estado de parche y una accion residual si el workaround sigue en su sitio. |
El error operativo clave seria tratar el workaround como si fuera equivalente a un fix plenamente validado. La documentacion del fabricante no respalda eso. El workaround compra tiempo; el kernel corregido y la validacion post-cambio cierran el ciclo. Para visibilidad de logs y escalado alrededor de sistemas de identidad adyacentes, puede combinarse con Supervision de seguridad AD: Event IDs que importan para SIEM cuando el host Linux afectado se encuentra en una ruta administrativa o alimenta una revision de incidente mas amplia.
Por que esta CVE sigue importando a equipos de identidad e infraestructura
Copy Fail no pertenece al catalogo de vulnerabilidades AD/Azure de EtcSec, y este articulo no debe fingir lo contrario. Pero sigue importando a los equipos de identidad e infraestructura porque un root local en el sistema Linux equivocado cambia mas que un solo host.
Ejemplos:
- bastiones usados para administrar Windows o infraestructura cloud
- nodos Linux que guardan credentials de automatizacion o secretos de configuracion
- nodos OpenShift o de contenedores adyacentes a fronteras internas de confianza
- jump systems en entornos segmentados o air-gapped
Esa es la razon correcta para cubrir esta CVE aqui. No porque encaje limpiamente en el catalogo existente, sino porque la confianza de la infraestructura, las rutas administrativas y la evidencia de remediacion siguen importando cuando el sistema afectado esta cerca del plano de identidad.
Referencias primarias
- NVD: CVE-2026-31431
- Ubuntu: Fixes available for CVE-2026-31431 (Copy Fail) Linux Kernel Local Privilege Escalation Vulnerability
- SUSE: SUSE responds to the copy.fail vulnerability
- SUSE CVE page: CVE-2026-31431
- Red Hat Security Bulletins: RHSB-2026-02
- Red Hat: Is my RHEL system vulnerable to the Copy Fail (CVE-2026-31431) flaw?
- Red Hat: How to Mitigate issue mentioned in CVE-2026-31431 in OpenShift 4
- Red Hat: Mitigation and Remediation for CVE-2026-31431 ("Copy Fail") in ROSA Classic and OpenShift Dedicated
- kernel.org patch references listed in NVD
- CISA Known Exploited Vulnerabilities Catalog entry for CVE-2026-31431
Continue Reading
Que herramientas de seguridad funcionan en redes aisladas sin acceso a internet? Guia practica de workflows de seguridad offline-capable
¿Cuáles son las configuraciones incorrectas de seguridad de Active Directory más comunes? 10 problemas que corregir primero
