Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупреждает, что недавно обнаруженная ошибка в ядре Linux, получившая название “CopyFail”, уже используется злоумышленниками, спустя всего несколько дней после того, как исследователи опубликовали работающий эксплойт для получения прав суперпользователя (root).
Эта ошибка, отслеживаемая как CVE-2026-31431, находится в ядре Linux и предоставляет пользователям с низкими привилегиями возможность получить полный контроль над системой путем изменения данных, которые они должны только читать. Это фактически превращает ограниченный доступ в полные права root на необновленных машинах.
Проблема была раскрыта консалтинговой компанией в области кибербезопасности Theori, которая сообщила, что уязвимость была обнаружена ее платформой для тестирования на проникновение на базе ИИ Xint и передана команде безопасности ядра Linux 23 марта. Крупные дистрибутивы Linux выпустили исправления до публичного раскрытия информации, которое Theori опубликовала вместе с эксплойтом, демонстрирующим концепцию (proof-of-concept).
Код на Python работает против Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 и SUSE 16, однако исследователи предупредили, что потенциально уязвимо любое основное ядро Linux, собранное с 2017 года.
“Один и тот же скрипт, четыре дистрибутива, четыре оболочки root — за один проход. Один и тот же бинарный файл эксплойта работает без изменений на каждом дистрибутиве Linux”, — заявляет Theori.
Такой уровень надежности не остался незамеченным. CISA, агентство правительства США по кибербезопасности, добавило ошибку в свой каталог известных эксплуатируемых уязвимостей и предписало федеральным гражданским исполнительным органам устранить уязвимость в течение двух недель, установив крайний срок 15 мая.
Microsoft поддержала выводы CISA и заявила, что уже видит признаки активности после выпуска PoC. “Учитывая доступность полностью рабочего эксплойта (PoC) и гонку за установку исправлений, Microsoft Defender наблюдает предварительную тестовую активность, которая, скорее всего, приведет к увеличению числа атак злоумышленников в ближайшие дни”, — предупредила компания.
Механика атаки объясняет срочность. Атака локальная и требует минимального доступа, без какого-либо взаимодействия с пользователем, поэтому любой, кто уже получил точку опоры на уязвимой машине, может попытать счастья. Это та ошибка, которая довольно быстро превращает небольшое проникновение в полный контроль.
Как сообщала The Register на прошлой неделе, уязвимость проистекает из того, как ядро обрабатывает определенные криптографические операции, открывая путь для вмешательства в кэшированные данные способами, которые никогда не должны были контролироваться пользователем. Поскольку надежный эксплойт теперь в обращении, эта конструктивная особенность фактически превратилась во всеобщий трюк для повышения привилегий. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page
