Fellesskapet til Linux-systemadministratorer i Europa og Spania Microsoft står for tiden overfor et nytt sikkerhetsvarsel på grunn av en kritisk kjernefeil som gjør at en ikke-privilegert konto kan bli oppgradert til full systemadministratorstatus i løpet av sekunder. Sårbarheten, registrert som CVE-2026-31431 og med kallenavnet CopyFail (eller Copy Fail), har den eksistert siden 2017 og påvirker et bredt spekter av distribusjoner som er mye brukt i datasentre, offentlige skyer og utviklingsmiljøer.
Det som bekymrer sikkerhetsteamene mest er ikke bare alvorlighetsgraden av feilen, men også Den offentlige utnyttelsen som utnytter dette er ekstremt liten, stabil og enkel å tilpasse.Dette senker barrieren for angripere betydelig. Selv om det krever lokal utførelse, passer det perfekt inn i vanlige scenarier: containere i Kubernetes, delte servere, kontinuerlige integrasjonsrørledninger eller til og med WSL2-miljøer på bærbare datamaskiner på arbeidsplassen.
Hva er CopyFail, og hvorfor tillater det root-tilgang?
CopyFail er oppført som en sårbarhet for lokal privilegieeskalering i Linux-kjernen. Den åpner ikke en dør fra selve Internett, men den gjør ethvert tidligere fotfeste – en begrenset konto, en kompromittert container, et skript i en CI/CD-pipeline – om til full root-tilgang på de berørte systemene.
Feilen ligger i kjernens kryptografiske delsystem, nærmere bestemt i algif_aead-grensesnittet og authencesn-malenbrukes til AEAD-operasjoner knyttet til IPsec og andre krypteringsmekanismer. Teoriforskere, skaperne av Xint-verktøyet, beskriver problemet som en logisk feil som tillater en kontrollert 4-byte skriving til side Cache, minnet der Linux lagrer hurtigkopier av filer.
Den detaljen gjør sårbarheten spesielt unnvikende: Endringen skjer bare i minnet og ikke i den fysiske diskfilen.Som et resultat klarer ikke mange klassiske integritetskontroller basert på filsystem-hasher å oppdage endringer, noe som gjør det vanskelig for tradisjonelle antivirus- og EDR-systemer å identifisere manipulering.
I praksis tillater CopyFail en lokal bruker uten privilegier hev tillatelsene dine til root i løpet av få øyeblikk, ved hjelp av et skript på bare noen få hundre byte. Ingen kompleks utnyttelse eller vanskelige racingforhold er nødvendig.Utnyttelsen er relativt enkel, noe som mangedobler risikoen i miljøer med flere brukere.
CVE-2026-31431: Omfang og berørte distribusjoner
I følge de publiserte analysene påvirker sårbarheten Linux-kjerneversjoner fra gren 4.14 (2017) opp til nyere versjoner av 5.x- og 6.x-grenene før oppdateringen. Dette dekker et bredt spekter av distribusjoner som fortsatt er mye brukt i Europa, både på servere og arbeidsstasjoner.
Tekniske rapporter indikerer at referanseutnyttelsen fungerer konsekvent i Ubuntu 22.04 og senere derivater, Debian 12, SUSE 15.6, Amazon Linux 2023 og andre distribusjoner som deler sårbare kjerner. Videre har det blitt bemerket at WSL2 på Windows, mye brukt av utviklere i Spania og andre europeiske land, påvirkes også når man kjører uoppdaterte kjerneversjoner.
I praksis har mange distribusjoner integrert oppdateringen etter hvert som de oppdaterte kjernene sine til versjoner som 7.0, 6.19.12, 6.18.126.12.85, 6.6.137, 6.1.170, 5.15.204 eller 5.10.254. Da utnyttelsen ble offentliggjort, hadde imidlertid ikke alle leverandører gitt ut oppdaterte pakker, noe som etterlot en del av den installerte basen i en slags «dag null-oppdatering": Feilen ble fikset i oppstrømskjernen, men brukerne hadde fortsatt ingen effektiv beskyttelse.
For systemadministratorer i europeiske selskaper betyr dette at det ikke er nok å bare se på det generiske kjernenummeret. Hver distribusjon opprettholder sin egen patch-syklus og den kan rulle tilbake rettelser; derfor anbefales det å sjekke sikkerhetsbulletinene direkte for distribusjonene som brukes (Ubuntu, Debian, SUSE, Red Hat, Amazon Linux, osv.) og sjekke om den installerte kjernepakken allerede inkluderer rettelsen.
En liten, stabil utnyttelse som er enkel å integrere i angrep i den virkelige verden
En av faktorene som har skapt bekymring i nettsikkerhetsmiljøet er at Utnyttelsen som ble publisert for CopyFail er ekstremt kompakt. (rundt 700–800 byte) og krever ikke spesifikke justeringer for hver distribusjon. I motsetning til andre kjerneangrep som er avhengige av kappløpsforhold eller delikate forskyvninger, er dette en logisk sårbarhet som oppfører seg på en mye mer forutsigbar måte.
Sikkerhetsforskere har bekreftet at det samme skriptet fungerer uten endringer i forskjellige sårbare kjernedistribusjoner og -versjonerinkludert kombinasjoner som vanligvis finnes i europeiske datasentre. Denne portabiliteten reduserer den tekniske innsatsen som kreves av en angriper, og betyr at når konseptbeviset er publisert, kan det enkelt distribueres i andre angrepsscenarier.
Denne typen utnyttelse er godt egnet i sammenhenger der upålitelig kodekjøring allerede eksisterer: GitHub-handlinger eller GitLab-løpere, Jenkins-jobber, automatiserte testmiljøer eller AI-plattformer som tillater opplasting av tredjepartskode. I alle disse tilfellene kan en innledende "mindre" inntrenging raskt eskalere til full kontroll over vertssystemet.
Selv i webhotellmiljøer er virkningen tydelig. En angriper som kompromitterer en PHP-applikasjon, en utdatert WordPress-plugin eller et dårlig sikret API kan, etter å ha klart å utføre kommandoer som en begrenset bruker (f.eks. www-data), Kjør CopyFail-skriptet og eskaler til rootFra det tidspunktet slutter isolasjon mellom nettsteder eller klienter på samme server å være pålitelig.
Flere eksperter har sammenlignet CopyFail-saken med Skitten ku (2016) og Skitten rør (2022)Dette er to historiske sårbarheter i Linux-kjernen som endte opp med å bli aktivt utnyttet. Selv om den interne mekanismen ikke er den samme, anses evnen til å konvertere begrenset lokal tilgang til absolutt kontroll å være av samme alvorlighetsgrad.
Hvordan kjernesårbarheten fungerer: authencesn, AF_ALG og sidebuffer
Fra et teknisk synspunkt stammer CopyFail fra måten som AEAD-autentiseringsmalen håndterer visse data knyttet til utvidede sekvensnumreI stedet for å kopiere informasjonen til sitt eget arbeidsområde, bruker koden utdatabufferen som er levert av brukerkallet, noe som åpner døren for skriving utenfor de tiltenkte grensene.
Nøkkelen er at samtalen skal kopiere AAD ESN-bytene til målbufferen. respekterer ikke grensene ordentligResultatet er at 4 byte skrives på en fast posisjon utenfor der de skal være, og at liten korrupsjon fungerer som en innflytelse for å endre kritiske data i minnet.
Utnyttelsen utnytter grensesnittet AF_ALGDette lar brukerområdeapplikasjoner kommunisere med kjernens kryptografiske delsystem via sokler. Ved å bruke en kombinasjon av `splice()` og referanser til tilgjengelige kjørbare filer – for eksempel `su`-binærfilen – kan angriperen manipulere regionen som påvirkes av denne 4-byte-skrivingen. tilsvarer en hurtigbufret kopi av en kjørbar fil.
På grunn av en intern optimalisering i algif_aeadDataene kjedes sammen via referanse i stedet for å bli kopiert, og de fire feilstavede bytene ender opp med å endre den hurtigbufrede versjonen av den kjørbare filen. Når den binære filen kjøres, er den allerede manipulertDette lar en ikke-privilegert bruker få root-tilgang. Alt dette skjer uten at filen på disken endres, noe som forklarer hvorfor mange overvåkings- og integritetsverktøy ikke klarer å oppdage noe mistenkelig.
I tillegg til direkte eskalering via deres eller andre SUID-binærfiler, bemerker forskerne at denne oppførselen kan brukes som grunnlag for avsluttende containere i Kubernetes eller andre orkestreringsplattformerHvis vertskjernen er sårbar og kode kan kjøres i en container, tillater CopyFail kryssing av denne grensen og oppnåelse av et privilegert skall på den delte fysiske eller virtuelle noden.
AI-drevet oppdagelse og debatten om åpenhet
Sårbarheten ble oppdaget av forskeren Taeyang Lee fra Theori, som fokuserte analysen sin på angrepsflaten til kjernens kryptografiske delsystem, et område som hittil har blitt ansett som mindre utforsket. For dette formålet benyttet de seg av Xint, et AI-assistert kodeanalyseverktøy utviklet av selskapet selv.
Ifølge den publiserte informasjonen kom kjennelsen frem etter ca. én time med automatisk skanning av interaksjoner mellom splice(), sidebufferen og scatterlist-strukturer. Disse dataene illustrerer en klar trend: den samme AI-en som brukes til å styrke forsvaret, akselererer også oppdagelsen av nye sårbarheter, som påvirker både legitime forskere og potensielle angripere.
Sårbarheten ble rapportert privat til Linux-kjernens sikkerhetsteamTheori integrerte rettelsene i flere stabile grener. Fem uker senere publiserte Theori de tekniske detaljene og konseptbeviset. Problemet er at på tidspunktet for offentlig utgivelse hadde ikke alle distribusjonene som ble nevnt i den første analysen allerede integrerte rettelser i pakkene sine.
Denne situasjonen har skapt heftig debatt om ansvarlig sårbarhetskoordineringWill Dormann, en analytiker hos Tharros Labs, kritiserte prosessen hardt og anså verifiseringen av oppdateringsstatus hos leverandører før informasjonen ble publisert som «forferdelig». Den praktiske konsekvensen er at mange brukere ble utsatt for en fungerende utnyttelse med få umiddelbare beskyttelsesalternativer.
I Linux-økosystemet er dette ingen liten sak: store bedriftsdistribusjoner i Europa – som for eksempel RHEL, Debian, SUSE eller Ubuntu LTS– De jobber vanligvis med eldre kjernegrener som de ruller tilbake oppdateringer til. Hvis koordineringen utelukkende forblir innenfor kjerneteamet og ikke når distributører i tide, kan utgivelsen av en utnyttelse gå forut for den faktiske tilgjengeligheten av oppdateringspakker i produksjon.
Innvirkning i Spania og Europa: delte servere, Kubernetes og WSL2
I europeisk sammenheng påvirker CopyFail spesielt infrastrukturer der forskjellige brukere deler samme kjerneVi snakker om hostingleverandører som er vert for flere klienter på samme server, Kubernetes-klynger som administreres av skytjenesteselskaper, delte utviklingsmiljøer på universiteter eller forskningssentre, og CI/CD-plattformer som kjører kode sendt inn av tredjeparter.
Mange organisasjoner i Spania bruker Linux som grunnlag for sine webservere, databaser, bedriftsapplikasjoner og virtualiseringsløsningerI alle disse tilfellene setter muligheten for at en bruker med minimale tillatelser kan bli root spørsmålstegn ved mange av de logiske isolasjonstiltakene som tas for gitt.
Det er også bekymringer om virkningen på Windows-miljøer med WSL2i økende grad brukt av europeiske utviklere og DevOps-team. Hvis Linux-instansen som er innebygd i Windows kjører en sårbar kjerne, kan en feil i en tilsynelatende isolert applikasjon ende opp med å påvirke vertssystemet, spesielt i scenarier der bedrifts- og persondata blandes.
I Spania har flere nettsikkerhetsselskaper begynt å advare sine offentlige og private kunder om behovet for å prioritere gjennomgangen av systemer som kjører tredjepartskodeApplikasjonsservere, automatiserte testmaskiner, utdanningsmiljøer og flerbrukerplattformer er vanlige mål. Erfaring med tidligere kjernesårbarheter har vist at disse «mindre kritiske» miljøene ofte fungerer som inngangspunkter.
Videre indikerer rapporter fra spesialiserte medier at enheter i forskjellige land i regionen, fra telekommunikasjonsleverandører til administrerte tjenesteselskaper, har blitt tvunget til å akselerere oppdateringssyklusene sine og styrke overvåkingskontrollene for å oppdage mulig misbruk av sårbarheten.
Tiltak og anbefalte tiltak for administratorer
Det mest effektive tiltaket for å beskytte deg mot CopyFail er oppdater kjernen til en versjon som inkluderer den offisielle oppdateringenDette innebærer å installere sikkerhetsoppdateringene fra den tilsvarende distribusjonen og starte systemet på nytt for at den nye kjernen skal tre i kraft.
Han er imidlertid klar over at i mange europeiske organisasjoner kjerneoppdateringssyklusen er tregere av kompatibilitetsårsaker eller interne krav. I slike tilfeller har flere distribusjoner publisert midlertidige risikoreduserende retningslinjer for å redusere risikoen inntil en korrigert versjon kan installeres.
Hvis den sårbare komponenten algif_aead lastes inn som modulDet er mulig å blokkere bruken ved å legge til regler i modprobe for å forhindre at den lastes inn eller brukes fra brukerområdet. Denne tilnærmingen kan være akseptabel i systemer der kryptografiske operasjoner eksponert av AF_ALG ikke utnyttes aktivt.
Noen plattformer – som visse versjoner av RHEL eller WSL2— de integrerer funksjonaliteten direkte i kjernen, uten mulighet for å laste ned modulen. I disse miljøene involverer avbøtende tiltak begrense åpningen av AF_ALG-sokler ved hjelp av verktøy som seccomp, AppArmor eller SELinux, som begrenser hvilke prosesser som kan bruke det grensesnittet.
Utover spesifikke tiltak knyttet til sårbarhet, anbefaler eksperter å styrke flere generelle praksiser for administrasjon og vedlikehold: minimer antallet kontoer med skalltilgangFor å bedre isolere flerbrukermiljøer, redusere eksponeringen for tjenester som kjører tredjepartskode, og oftere gjennomgå logger for unormal oppførsel knyttet til rettighetseskaleringer.
Linux-sikkerhet: Lærdommer fra CopyFail for fremtiden
CopyFail-saken gir flere lærdommer for Linux-økosystemet, både i Spania og resten av Europa. Den første er at Ingen operativsystemer er helt tryggeUansett hvor robust designet er eller hvor sterkt omdømmet er innen sikkerhetsfeltet, kan en relativt liten logisk feil forbli skjult i nesten et tiår og bli et alvorlig problem når man finner en enkel måte å utnytte den på.
Det andre er at adopsjon av AI-assisterte analyseverktøy Tempoet som sårbarheter oppdages i endrer seg. Det som en gang krevde måneder med manuell revisjon, kan nå dukke opp i løpet av timer. Dette tvinger kjerneutviklere, distributører og administratorer til å forkorte responstidene sine og vurdere mer smidige oppdateringsmodeller.
Behovet for å bedre koordinere formidling Blant dem som oppdager sårbarheter er kjerneteamet og distribusjonene som pakker oppdateringer for sluttbrukere. Vinduet mellom utgivelsen av en fungerende utnyttelse og den faktiske tilgjengeligheten av oppdateringer i produksjon er den dag i dag et av de viktigste aspektene ved risikostyring.
Til slutt minner CopyFail oss om at sikkerhet i Linux ikke er begrenset til å installere et antivirusprogram eller en EDR og glemme det. Oppdater regelmessig, begrens rettigheter, segmenter miljøer og overvåk kontinuerlig. Det er fortsatt grunnlaget for å redusere virkningen av kritiske sårbarheter. Selv om Linux-systemet har et godt rykte for sikkerhet, viser realiteten at det fortsatt er viktig å holde seg oppdatert om bulletiner, oppdateringer og konfigurasjoner for å forhindre at en kjernefeil blir et inngangspunkt til en hel infrastruktur.
