Este artículo de Dragonsreach.it analiza la vulnerabilidad CVE-2026-31431, conocida como 'Copy Fail', y cómo los contenedores rootless de Podman pueden mitigarla. La vulnerabilidad reside en la forma en que el kernel Linux maneja ciertas operaciones de copia, permitiendo potencialmente una escalada de privilegios. El exploit, disponible en GitHub, inyecta un ejecutable malicioso que sobrescribe el comando 'su', engañando al sistema para que ejecute código arbitrario con privilegios elevados. El análisis del shellcode revela que este código utiliza técnicas de 'ELF golfing' para comprimir el payload y, una vez ejecutado, intenta ejecutar '/bin/sh'.
La clave del artículo es demostrar cómo la arquitectura de contenedores rootless de Podman, donde los contenedores se ejecutan con un UID y GID no root, impide la explotación exitosa de esta vulnerabilidad. En un entorno rootless, el exploit no puede alcanzar los privilegios necesarios para la escalada. El autor rastreó la ejecución del exploit usando strace dentro de un contenedor para confirmar este comportamiento. El uso de eBPF (Extended Berkeley Packet Filter) permitió observar en tiempo real cómo el kernel rechazaba la escalada de privilegios debido a las restricciones impuestas por el entorno rootless. La prueba final, utilizando uid_map, confirmó que el exploit intentaba acceder a recursos con un UID diferente al del usuario rootless, lo que provocó el fallo.
Este análisis es importante porque destaca la importancia de la seguridad en entornos de contenedores. Aunque la vulnerabilidad 'Copy Fail' es específica de ciertas versiones del kernel, el principio de utilizar contenedores rootless como una capa adicional de defensa es aplicable a una amplia gama de escenarios. El artículo proporciona una guía detallada para reproducir la vulnerabilidad en un entorno de laboratorio y para comprender cómo los contenedores rootless ofrecen una protección significativa contra este tipo de ataques. La práctica de analizar el código de los exploits antes de ejecutarlos también se enfatiza como una buena práctica de seguridad.