Агентство по кибербезопасности и защите инфраструктуры США (CISA) 1 мая добавило недавно обнаруженную уязвимость Linux, получившую название «Copy Fail», в свой каталог известных эксплуатируемых уязвимостей, предупредив, что эта брешь, отслеживаемая как CVE-2026-31431, уже используется в активных атаках, и настоятельно призвало к скорейшему установлению исправлений в затронутых системах. Уязвимость находится в криптографическом интерфейсе «algif_aead» ядра Linux и позволяет непривилегированным локальным пользователям повысить свои привилегии до уровня root. На практике это означает, что злоумышленник с ограниченным доступом к системе может получить полный административный контроль. Исследователи безопасности из Theori на прошлой неделе предали огласке эту брешь, опубликовав вместе со своими выводами рабочий эксплойт с доказательством концепции. По данным команды, эксплойт «на 100% надежен» и работает без изменений в нескольких основных дистрибутивах Linux, включая Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 и SUSE 16. Такой уровень переносимости необычен и снижает порог входа для злоумышленников, стремящихся использовать этот баг в своих целях. На техническом уровне ошибка позволяет атакующим записывать контролируемые данные в кэш страниц ядра — низкоуровневую структуру памяти, что в конечном итоге приводит к повышению привилегий. Хотя для эксплуатации требуется локальный доступ, это все равно позволяет злоумышленникам выйти за рамки стандартных пользовательских ограничений и получить полный контроль над системой. Усугубляет риск обсуждение в списке рассылки oss-security Openwall, согласно которому уязвимость и рабочий эксплойт были публично раскрыты без предварительной координации с сопровождающими дистрибутивы Linux. В рамках стандартных процессов ответственного раскрытия информации поставщикам заранее сообщают о проблеме, чтобы они успели подготовить и выпустить исправления до обнародования технических подробностей. Однако в данном случае сопровождающие указали, что такого предварительного уведомления не поступало, из-за чего некоторые дистрибутивы не имели готовых исправлений на момент раскрытия. Один из участников отметил, что старые ветки ядер с длительной поддержкой еще не получили портированных исправлений, вынуждая разработчиков полагаться на временные меры смягчения последствий, включая отключение затронутых криптографических модулей. В результате окно для реагирования сжато: защитники вынуждены спешно развертывать обновления, в то время как злоумышленники могут немедленно использовать общедоступный код эксплойта. Эта динамика отражена в необычайно быстром включении CISA этой бреши в список эксплуатируемых уязвимостей, что сигнализирует о значительном и немедленном риске. CISA предоставила федеральным агентствам США две недели на установку исправлений, в соответствии с Обязательным оперативным директивом 22-01, а также настоятельно призвала все организации уделить первоочередное внимание устранению проблемы. Вендоры Linux начали выпускать обновления ядра для устранения этой бреши. Однако при уже существующем в дикой природе коде эксплойта пользователи устаревших или неисправленных систем могут оставаться уязвимыми до тех пор, пока исправления не будут применены.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Etiido Uko
