« Échec de Copie » – Vulnérabilité d’élévation de privilèges locaux sous Linux (CVE-2026-31431)

Résumé

Copy Fail est une vulnérabilité d’escalade de privilèges locaux de Linux répertoriée comme CVE-2026-31431 qui permet à un utilisateur non privilégié d’obtenir un accès root en corrompant le cache de pages d’un binaire setuid en abusant de AF_ALG and splice. La faille est présente dans les noyaux Linux expédiés depuis 2017 et affecte toutes les grandes distributions. L’exploitation nécessite seulement l’exécution de code local et ne dépend pas de l’accès réseau. En termes pratiques, le bug peut également être utilisé pour sortir des conteneurs et compromettre des environnements partagés ou pilotés par CI.

Enquête

Des chercheurs de Xint Code ont identifié une preuve de concept Python de 732 octets qui exploite une faille logique dans le sous-système crypto de Linux, spécifiquement dans authencesn, et abuse des AF_ALG sockets pour écrire des données contrôlées par l’attaquant dans une page de cache. L’exploit modifie le binaire setuid cible en mémoire plutôt que sur le disque, permettant à l’attaquant d’obtenir un véritable shell root lorsque le binaire est exécuté. La preuve de concept publique a été testée avec succès contre des noyaux utilisés dans les environnements Ubuntu, Amazon Linux, RHEL et SUSE.

Atténuation

La principale solution est d’appliquer le correctif du noyau qui annule l’optimisation en place algif_aead introduite par le commit a664bf3d603den 2017. Les fournisseurs Linux déploient déjà des versions corrigées. Comme mesure de protection intérimaire, les administrateurs peuvent mettre le module algif_aead en liste noire via modprobe et le supprimer du noyau en cours d’exécution. Pour les charges de travail non fiables, le blocage de la création de AF_ALG sockets avec seccomp offre une protection supplémentaire.

Réponse

Les équipes de sécurité doivent immédiatement vérifier les versions du noyau et l’état des correctifs sur tous les systèmes Linux. Les paquets de noyau mis à jour ou les correctifs rétroportés par le fournisseur doivent être déployés dès que possible. Là où le patch ne peut pas être appliqué immédiatement, les défenseurs doivent mettre le module algif_aead en liste noire et appliquer des règles seccomp qui bloquent AF_ALG l’utilisation de sockets. La surveillance devrait également couvrir les changements suspects impliquant des binaires setuid et des modèles d’exécution ressemblant à copy_fail_exp.py ou un comportement d’exploit similaire.