“Помилка копіювання” – уразливість підвищення привілеїв у Linux (CVE-2026-31431)

Резюме

Copy Fail — це вразливість підвищення привілеїв на Linux, що відстежується як CVE-2026-31431 яка дозволяє непривілейованому користувачу отримати доступ до root, пошкоджуючи кеш сторінки бінарного файлу setuid через зловживання AF_ALG and splice. Уразливість присутня в ядрах Linux, що постачаються з 2017 року, і впливає на всі основні дистрибутиви. Експлуатація вимагає лише локального виконання коду і не залежить від мережевого доступу. На практиці, помилку також можна використати для виходу з контейнерів та компрометації спільних або керованих CI середовищ.

Дослідження

Дослідники з Xint Code ідентифікували докази концепції на 732 байта на Python, які використовують логічну помилку в криптопідсистемі Linux, зокрема в authencesn, і зловживають AF_ALG сокетами для запису даних, контрольованих атакуючим, на сторінку кешу сторінки. Експлойт змінює цільовий бінарний файл setuid у пам’яті, а не на диску, дозволяючи атакуючому отримати справжню облікову оболонку root при виконанні бінарного файлу. Публічна демонстрація концепції була успішно протестована на ядрах, використовуваних в Ubuntu, Amazon Linux, RHEL та SUSE середовищах.

Пом’якшення

Головним виправленням є застосування патчу ядра, який відміняє оптимізацію на місці, введену в 2017 році algif_aead з комітом a664bf3d603d. Постачальники Linux вже розгортають виправлені версії. Як тимчасовий захід безпеки, адміністратори можуть занести в чорний список algif_aead модуль через modprobe і видалити його з працюючого ядра. Для недовірених навантажень, блокування AF_ALG створення сокетів за допомогою seccomp надає додатковий рівень захисту.

Реакція

Команди з безпеки повинні негайно перевірити версії ядер та статус патчів на всіх системах Linux. Оновлені пакети ядер або бекапорти від постачальника повинні бути розгорнуті якомога швидше. Якщо негайне встановлення патчів неможливе, захисники повинні занести в чорний список algif_aead модуль і застосувати правила seccomp, які блокують AF_ALG використання сокетів. Моніторинг також має охоплювати підозрілі зміни, що стосуються бінарних файлів setuid та шаблонів виконання, що нагадують copy_fail_exp.py або схожу поведінку експлойту.