„Copy Fail“ – Linux lokale Privilegieneskalations-Schwachstelle (CVE-2026-31431)

Zusammenfassung

Copy Fail ist eine Linux-Eskalierungsschwachstelle für lokale Privilegien, die unter der Kennung CVE-2026-31431 verfolgt wird. Sie ermöglicht es einem nicht privilegierten Benutzer, Root-Zugriff zu erlangen, indem der Seitencache eines Setuid-Binaries durch Missbrauch von AF_ALG and splicebeschädigt wird. Der Fehler ist in seit 2017 ausgelieferten Linux-Kernels vorhanden und betrifft alle großen Distributionen. Die Ausnutzung erfordert nur die lokale Ausführung von Code und hängt nicht von einem Netzwerkzugriff ab. Praktisch kann der Fehler auch genutzt werden, um aus Containern auszubrechen und gemeinsam genutzte oder CI-gesteuerte Umgebungen zu gefährden.

Untersuchung

Forscher von Xint Code identifizierten ein 732-Byte-Python-Proof-of-Concept, das einen Logikfehler im Linux-Krypto-Subsystem, insbesondere in authencesn, ausnutzt und AF_ALG Sockets missbraucht, um vom Angreifer kontrollierte Daten in eine Page-Cache-Seite zu schreiben. Der Exploit ändert das Ziel-Setuid-Binary im Speicher statt auf der Festplatte, sodass der Angreifer eine echte Root-Shell erhält, wenn das Binary ausgeführt wird. Der öffentliche Proof-of-Concept wurde erfolgreich gegen die in Ubuntu, Amazon Linux, RHEL und SUSE verwendeten Kernel getestet.

Minderung

Die Hauptlösung besteht darin, den Kernel-Patch anzuwenden, der die 2017 eingeführte algif_aead -In-Place-Optimierung rückgängig macht, die durch den Commit a664bf3d603deingeführt wurde. Linux-Anbieter bringen bereits gepatchte Versionen heraus. Als Zwischenmaßnahme können Administratoren das algif_aead Modul über modprobe auf die schwarze Liste setzen und es aus dem laufenden Kernel entfernen. Für nicht vertrauenswürdige Workloads bietet das Blockieren der AF_ALG Socket-Erstellung mit seccomp eine zusätzliche Schutzschicht.

Reaktion

Sicherheitsteams sollten die Kernel-Versionen und den Patch-Status auf allen Linux-Systemen sofort überprüfen. Aktualisierte Kernel-Pakete oder Anbieter-Backports sollten so schnell wie möglich bereitgestellt werden. Wo Patching nicht sofort stattfinden kann, sollten Verteidiger das algif_aead Modul auf die schwarze Liste setzen und seccomp-Regeln durchsetzen, die AF_ALG die Socket-Nutzung blockieren. Die Überwachung sollte auch verdächtige Änderungen in Bezug auf Setuid-Binaries und Ausführungsmuster abdecken, die copy_fail_exp.py oder ähnlichem Exploit-Verhalten ähneln.