Эксперты в области кибербезопасности обнаружили свежую брешь в операционной системе Linux, которую неофициально окрестили Copy Fail. Данная уязвимость дает возможность атакующему, имеющему доступ к системе на уровне обычного пользователя, поднять свои привилегии до администраторских (root). Проблема касается систем, выпущенных начиная с 2017 года. Ключевая особенность — чрезвычайно простая эксплуатация и существование общедоступного эксплоита. Эту информацию CNews предоставили представители BI.Zone.
Уязвимость присутствует в ядрах Linux, используемых с 2017 г. Linux остается одной из самых популярных операционных систем в мире, а это означает, что проблема с брешью в ядре потенциально затрагивает обширный круг Linux-систем: серверы (физические и виртуальные); облачную инфраструктуру (IaaS/PaaS); контейнерные среды (Docker, узлы Kubernetes); CI/CD-раннеры и сборочные агенты; виртуальные машины и гипервизоры на базе Linux; встраиваемые системы (embedded-/IoT-устройства); сетевое оборудование на Linux (роутеры, шлюзы, файрволы); рабочие станции и десктопы на Linux.
Согласно оценкам Fortune Business Insights, на 2025 г. мировой рынок серверных операционных систем насчитывал 29 млн 539 тыс. единиц. Специалисты предсказывают, что сегмент Linux будет лидировать на глобальном рынке с долей 63,73% в 2026 г. Из этого следует, что десятки миллионов серверов как на мировом рынке, так и в России потенциально находятся под угрозой.
Использование уязвимости позволяет злоумышленнику, у которого есть доступ к системе с правами обычного пользователя, получить полный контроль над устройством. Открытая доступность proof-of-concept (PoC) делает брешь опасной: ее могут применять не только высококвалифицированные хакеры, но и менее опытные нарушители. Уязвимости присвоен высокий (high) уровень опасности, однако она не считается катастрофической по одной причине: для ее эксплуатации требуется предварительный доступ к системе.
Это означает, что: внешнему атакующему нужно сначала скомпрометировать систему, получив к ней доступ от имени любого пользователя; если нарушитель или злоумышленник уже проник внутрь, то риск становится максимальным.
Основной способ устранения уязвимости — обновление ядра до актуальной версии. Большинство вендоров уже выпустили патч. Если обновить ядро невозможно, временная мера — отключение модуля algif_aead, если это не нарушает работу системы.
«Основная сложность в устранении Copy Fail заключается не в выпуске исправления, а в том, чтобы фактически доставить его до всех подверженных риску систем. Linux используется не только на серверах в центрах обработки данных, но и в маршрутизаторах, модемах, IoT-устройствах, носимых гаджетах, терминалах, промышленных системах и многих других. На обычных серверах обновление ядра часто требует перезагрузки, что подразумевает окна технического обслуживания, согласования и возможные риски. В устройствах и встраиваемых системах ситуация еще сложнее: там процесс обновления зависит от производителя, который может выпустить новую прошивку с задержкой или не выпустить вовсе, поскольку многие устройства, выпущенные в период с 2017 по 2022 год, уже считаются устаревшими. Скорее всего, уязвимость будет быстро устранена в облачных средах, Kubernetes-кластерах и на критически важных серверах. Однако «длинный хвост» старых и забытых Linux-систем останется уязвимым еще на долгие годы. С другой стороны, не во всех таких системах эксплуатация уязвимости приведет к серьезным бизнес-рискам», — отметил Михаил Сидорук, руководитель управления анализа защищенности.
Рекомендации от команды offensive BI.Zone. Организациям рекомендуется: своевременно обновлять используемое программное обеспечение; ограничивать доступ пользователей к критическим системам; усиливать изоляцию сред (контейнеры, песочницы); проводить регулярный аудит прав и сценариев выполнения кода.
