Исследователи по безопасности из компании Theori обнаружили в ядре Linux уязвимость высокой степени опасности, связанную с локальным повышением привилегий (LPE) (CVE-2026-31431).
Эта уязвимость, получившая название Copy Fail, затронула практически все основные дистрибутивы Linux, выпущенные с 2017 года, и рабочий эксплойт для подтверждения его слов находится в открытом доступе.
О CVE-2026-31431
По данным исследователей Theori, уязвимость CVE-2026-31431 возникла в результате взаимодействия трех обоснованных изменений ядра, внедренных в течение нескольких лет: добавления authencesn (криптографический обертка AEAD, используемая IPsec) в 2011 году, введение поддержки сокетов AF_ALG AEAD в 2015 году и оптимизация на месте, добавленная в algif_aead.c в 2017 году.
Это логическая ошибка в криптографическом шаблоне authencesn, которая позволяет непривилегированному локальному пользователю записать 4 контролируемых байта в кэш страниц любого доступного для чтения файла в системе Linux и использовать это для получения прав root.
Техническое описание, конечно, более подробное.
Хорошая новость заключается в том, что для эксплуатации CVE-2026-31431 требуется локальное выполнение кода от имени обычного пользователя, а это означает, что сама по себе эта уязвимость не может быть использована удаленно. Но, как отметили исследователи, если соединить ее с чем-либо, что дает вам такую возможность (RCE через веб-интерфейс, попадающий в учетную запись службы без привилегий, точка опоры SSH, вредоносный PR на CI-раннере), вы получите права root.
Плохая новость заключается в том, что, в отличие от уязвимостей LPE ядра Linux Dirty Cow и Dirty Pipe, Copy Fail можно использовать без необходимости выигрывать гонку условий, и один и тот же эксплойт будет работать на многих системах.
Что делать?
CVE-2026-31431 затрагивает все дистрибутивы Linux, использующие ядро, выпущенное с 2017 года.
Скрипт эксплоита очень маленький, не зависит от установки дополнительного программного обеспечения, будет работать почти на всех дистрибутивах Linux, выпущенных с 2017 года, будет срабатывать каждый раз при запуске на уязвимой системе, не изменяет файлы на диске и не будет отмечен инструментами, отслеживающими попытки взлома файлов, не оставляет никаких следов на диске и, наконец, может вырваться из изоляции контейнера.
По всем этим причинам исследователи рекомендуют администраторам в первую очередь исправить уязвимость на многопользовательских системах Linux, CI-раннерах, облачных SaaS-сервисах, на которых запускается пользовательский код, и кластерах контейнеров, а затем на стандартных серверах Linux и однопользовательских рабочих станциях:
Приоритетность исправления уязвимости CopyFail (Источник: Theori)
Исследователи подтвердили, что уязвимы Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 и SUSE 16. Основатель проекта Openwall Александр Песляк (он же Solar Designer) подтвердил, что предоставленный эксплойт работал на Rocky Linux 9.7.
По их словам, дистрибутивы Linux были заранее уведомлены о наличии уязвимости, и некоторые из них уже выпустили пакеты ядра, включающие коммит, исправляющий ее.
Администраторы/пользователи, которые по какой-либо причине не могут обновить пакет ядра своего дистрибутива, могут временно снизить риск следующим образом:
- Блокировка создания сокетов AF_ALG с помощью seccomp, или
- Внесение модуля algif_aead в черный список.
Комментарии (0)