CISA предупреждает об активно эксплуатируемой уязвимости «Copy Fail» в ядре Linux, позволяющей получить root-доступ

2 часа назад / Технологии → Новости / Технологии

Агентство по кибербезопасности и защите инфраструктуры США (CISA) 1 мая добавило недавно раскрытую уязвимость в Linux, получившую название «Copy Fail», в свой каталог известных эксплуатируемых уязвимостей. Ведомство предупреждает, что ошибка, отслеживаемая как CVE-2026-31431, уже используется в активных атаках, и настоятельно рекомендует оперативно установить исправления на всех затронутых системах.

Изображение: Future

Уязвимость находится в криптографическом интерфейсе «algif_aead» ядра Linux и позволяет непривилегированным локальным пользователям повышать свои привилегии до root. На практике это означает, что злоумышленник с ограниченным доступом к системе может получить полный административный контроль.

Исследователи безопасности из компании Theori публично раскрыли эту уязвимость на прошлой неделе, опубликовав вместе со своими выводами рабочий proof-of-concept эксплойт. По словам команды, эксплойт является «100% надежным» и работает без модификаций в нескольких основных дистрибутивах Linux, включая Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 и SUSE 16. Такой уровень переносимости необычен и снижает порог для злоумышленников, стремящихся использовать эту ошибку.

На техническом уровне ошибка позволяет злоумышленникам записывать контролируемые данные в кеш страниц ядра — низкоуровневую структуру памяти, что в конечном итоге приводит к повышению привилегий. Хотя эксплойт требует локального доступа, он все же позволяет атакующим выйти за пределы стандартных ограничений пользователя и получить полный контроль над системой.

Усугубляет риск то, что обсуждение в списке рассылки Openwall oss-security показывает, что уязвимость и рабочий эксплойт были публично раскрыты без предварительного согласования с мейнтейнерами дистрибутивов Linux. В рамках типичного процесса ответственного раскрытия информации вендоры получают предварительное уведомление для подготовки и распространения исправлений до того, как технические детали становятся общедоступными.

Однако в данном случае мейнтейнеры указали, что такого уведомления не было, и некоторые дистрибутивы остались без готовых исправлений на момент раскрытия. Один из участников отметил, что старые ветки ядра с долгосрочной поддержкой еще не получили бэкпортированных патчей, что вынуждает разработчиков полагаться на временные меры смягчения, включая отключение затронутых криптографических модулей.

Результатом стало сжатое окно реагирования, в котором защитники вынуждены в спешке развертывать обновления, в то время как атакующие могут немедленно использовать общедоступный код эксплойта.

Эта динамика отражается в необычно быстром включении CISA данной ошибки в свой список эксплуатируемых уязвимостей, что сигнализирует о том, что проблема представляет собой значительный и непосредственный риск. CISA дала федеральным агентствам США две недели на установку исправлений в соответствии с Обязательной оперативной директивой 22-01, а также призвала все организации уделить первостепенное внимание устранению уязвимости.

Вендоры Linux начали выпускать обновления ядра для устранения этой ошибки. Однако, поскольку код эксплойта уже находится в открытом доступе, пользователи старых или незапатченных систем могут оставаться уязвимыми до тех пор, пока исправления не будут установлены.

Источник: Tomshardware.com