「Copy Fail」- Linuxローカル特権昇格の脆弱性 (CVE-2026-31431)

概要

Copy Failは、Linuxのローカル特権昇格脆弱性であり、次のように追跡されています CVE-2026-31431 この脆弱性は、無許可のユーザーが、setuidバイナリのページキャッシュを破損させることでルートアクセス権を得ることを可能にします。 AF_ALG and spliceを悪用することによって。欠陥は2017年以来出荷されたLinuxカーネルに存在し、主要なすべてのディストリビューションに影響を与えます。悪用には、ローカルでのコード実行のみが必要で、ネットワークアクセスには依存しません。実際には、このバグを使用してコンテナーを脱出し、共有またはCI駆動の環境に侵入することも可能です。

調査

Xint Codeの研究者は、Linuxの暗号サブシステム内の論理欠陥を悪用する732バイトのPythonの証明概念を特定しました。具体的には authencesn内で、それを悪用し、攻撃者が制御するデータをページキャッシュページに書き込むことを可能にします。エクスプロイトはディスク上ではなくメモリ内のターゲットのsetuidバイナリを変更するため、バイナリが実行されると実際のルートシェルを取得できます。公開された証明概念は、Ubuntu、Amazon Linux、RHEL、およびSUSE環境で使用されているカーネルに対して成功裏にテストされました。 AF_ALG sockets to write attacker-controlled data into a page-cache page. The exploit alters the target setuid binary in memory rather than on disk, allowing the attacker to obtain a real root shell when the binary is executed. The public proof-of-concept was tested successfully against kernels used in Ubuntu, Amazon Linux, RHEL, and SUSE environments.

緩和

主な修正は、2017年にコミットによって導入された algif_aead のインプレース最適化を元に戻すカーネルパッチを適用することです。 a664bf3d603d。Linuxベンダーはすでにパッチを適用したバージョンを展開しています。一時的な保護策として、管理者は algif_aead モジュールを modprobe を介してブラックリストに登録し、実行中のカーネルから削除できます。信頼されていないワークロードに対しては、seccompでソケット作成をブロックすることで、追加の保護層を提供できます。 AF_ALG socket creation with seccomp provides an additional layer of protection.

対応

セキュリティチームはすぐにすべてのLinuxシステムのカーネルバージョンとパッチの状態を確認する必要があります。アップデートされたカーネルパッケージまたはベンダーのバックポートを可能な限り早急に展開する必要があります。すぐにパッチングできない場合、守備者は algif_aead モジュールをブラックリスト化し、seccompルールを適用して AF_ALG ソケット使用をブロックする必要があります。また、setuidバイナリに関する怪しい変更や、 copy_fail_exp.py または関連するエクスプロイトの挙動に似た実行パターンについても監視する必要があります。