Обнаруженный в конце апреля дефект безопасности был классифицирован CISA как активно используемый; готовый эксплойт весит лишь 732 байта и даёт root-доступ почти на любом Linux-сборке, выпущенной после 2017 года.
Американское агентство по кибербезопасности и защите инфраструктуры (CISA) признало уязвимость, связанную с повышением привилегий в ядре Linux, активно эксплуатируемой. Данная проблема присутствовала в ядре начиная с 2017 года, и, по заявлениям специалистов «Лаборатории Касперского», она позволяла получить права суперпользователя на подавляющем большинстве современных дистрибутивов Linux.
Ошибка, зарегистрированная под номером CVE-2026-31431, также получила неофициальное имя Copy Fail — такие «собственные названия» даются лишь наиболее значимым уязвимостям.
«Скорее всего, источник проблемы — коммит 72548b093ee3, внесённый в ядро Linux в 2017 году. Он добавил поддержку операций «на месте» (in-place) для AEAD-шифрования в модуле algif_aead, что вызвало дефект при обработке буферов. Таким образом, уязвимость охватывает ядра, выпущенные с 2017 по 2026 год. Под угрозой находятся как старые серверные настройки, так и актуальные дистрибутивы: Ubuntu, RHEL, некоторые версии WSL2 и другие системы с загруженным модулем algif_aead», — отмечается в отчёте «Лаборатории Касперского».
Другие источники предполагают, что проблема может быть связана не с одним, а сразу с тремя коммитами, добавленными в ядро в 2011, 2015 и 2017 годах.
Оценка угрозы по шкале CVSS составила 7,8 балла из 10, что соответствует высокому, но не критическому уровню опасности.
Это может объясняться тем, что для использования Copy Fail требуется локальный доступ. Однако в сочетании с уязвимостями, позволяющими удалённое проникновение, это ограничение теряет значение.
По версии «Лаборатории Касперского», суть уязвимости заключается в следующем.
Криптографический алгоритм ядра Linux authencesn в процессе работы использует часть выделенной памяти как временный буфер; четыре байта записываются напрямую в страницы файлового кэша (page cache). «Это позволяет злоумышленнику контролируемо изменять содержимое кэша любого файла, доступного для чтения», — говорится в публикации.
Уже обнаружен рабочий эксплойт, отличающийся крошечным размером — всего 732 байта.
Написанный на Python, эксплойт записывает четыре контролируемых байта в кэш исполняемого файла (например, с битом setupid). В результате код программы меняется прямо в оперативной памяти, и при следующем запуске она выполняет вредоносные действия с правами root. При этом файл на диске остаётся нетронутым.
Данная уязвимость представляет серьёзную опасность для контейнерных сред: по умолчанию технологии Docker, LXC и Kubernetes предоставляют процессам внутри контейнера доступ к подсистеме AF_ALG, если модуль algif_aead загружен в ядре хоста. Следовательно, Copy Fail создаёт риск выхода за пределы контейнерной среды и получения контроля над физическим хостом.
Выполнить атаку достаточно легко, а вот выявить её гораздо сложнее: эксплойт применяет легитимные системные вызовы, которые трудно отличить от обычной работы приложений.
В то же время, как указано в материале Kaspersky, оригинальный эксплойт оставляет заметные следы, например, командные строки, запускающие привилегированные suid-утилиты: su, sudo, mount, umount, passwd, gpasswd, chfn, chsh, newgrp, fusermount3.
Кроме того, тревожным сигналом станет любой процесс Python, инициирующий системную оболочку.
В статье на Securelist также даны рекомендации по настройке SIEM-системы для обнаружения атак с использованием журналов событий auditd.
«Присвоенные уязвимости 7,8 балла CVSS стоит умножать на последствия успешной эксплуатации, особенно в облачных или контейнерных средах, а также на число дистрибутивов Linux, которые она затрагивает, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — К тому же, учитывая, что уязвимость присутствовала в ядре около девяти лет, существует ненулевая вероятность, что о ней уже знали киберпреступники или спецслужбы, хотя подтверждений этому пока нет. В любом случае, всё, что CISA помечает как активно эксплуатируемое, требует самых срочных обновлений, независимо от значения CVSS».
Проблема была исправлена в обновлениях ядра Linux 6.18.22, 6.19.12 и 7.0. Рекомендуется немедленно установить обновления на конечные системы.
