La vulnerabilidad conocida como «Copy Fail» se mantiene como uno de los riesgos más críticos para sistemas Linux. Este fallo lógico en el subsistema criptográfico del kernel (específicamente en algif_aead) permite que un usuario local sin privilegios obtenga acceso root en segundos.
¿Cómo funciona?
El atacante aprovecha una optimización insegura en la gestión de memoria del kernel para sobrescribir 4 bytes en la caché de páginas de archivos setuid (como /usr/bin/su) mediante sockets AF_ALG. Lo más peligroso es que la corrupción ocurre puramente en la RAM y no modifica el archivo en disco, lo que permite eludir la mayoría de los controles de integridad tradicionales. Es un ataque altamente determinista, estable y que no requiere condiciones de carrera complejas.
Mitigación inmediata
Si no has aplicado los parches de seguridad (kernels 7.0, 6.19.12 o 6.18.22), debes restringir la carga del módulo algif_aead de forma inmediata:
# Deshabilitar el módulo algif_aead
$ echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif.conf
$ sudo rmmod algif_aead 2>/dev/nullNota: En sistemas donde el módulo es interno (built-in), puedes añadir initcall_blacklist=algif_aead_init a los parámetros de arranque del kernel y reiniciar el sistema.
Impacto y Recomendaciones
Este exploit es extremadamente portable, funcionando con un script de pocos bytes en casi todas las distribuciones modernas desde 2017. El impacto abarca desde contenedores hasta hosts multi-inquilino. Como responsables de seguridad, la recomendación es auditar el uso de AF_ALG en el entorno: si tu carga de trabajo no requiere criptografía en espacio de usuario, bloquea este módulo preventivamente.
¿Ya has auditado tus servidores para identificar el uso legítimo de este módulo o planeas bloquearlo preventivamente? ¿Cómo estás gestionando el riesgo en tus contenedores frente a este tipo de fugas de memoria?
0 comentarios