I cybersikkerhetens verden dukker det av og til opp en feil som endrer spillereglene. Med Kopieringsfeil, en sårbarhet for privilegiesekalisering i Linux-kjernenMange eksperter er enige om at dette er et av disse tilfellene: en logisk, stille og ekstremt pålitelig feil som lar enhver lokal bruker få full kontroll over systemet.
Denne kjennelsen, identifisert som CVE-2026-31431Det er ikke lenger bare en teoretisk øvelse. Det amerikanske byrået for cybersikkerhet og infrastruktursikkerhet (CISA) har lagt det til i sin katalog over aktivt utnyttede sårbarheter (KEV-er), og i Spania CCN-CERT og CNI De har aktivert forbedrede overvåkingsmekanismer som svar på risikoen for kritisk infrastruktur, offentlige forvaltninger, skyleverandører og teknologioppstartsbedrifter.
Hva er kopifeil, og hvorfor er det så bekymringsfullt?
Kopieringsfeil er en Sårbarhet for lokal privilegieeskalering (LPE) Linux-kjernen har en sårbarhet som lar en ikke-privilegert bruker skrive fire kontrollerte byte til sidebufferen til enhver lesbar fil, inkludert binærfiler med setuid-biten. Derfra kan angriperen injisere kode og kjøre den som root uten å berøre innholdet i filen på disken.
Sårbarheten ble offentliggjort den 29 april 2026 Med en konseptutprøving (PoC) på bare 732 byte har den blitt tildelt en CVSS-poengsum på 7,8 (høy). Ifølge tekniske analyser utført av forskere og sikkerhetsselskaper oppfører angrepet seg på en ... deterministisk og reproduserbarI sårbare systemer fungerer det 100 % av tiden, uten krasj eller uregelmessig oppførsel.
Det som gjør denne feilen spesielt delikat er dens plass i dagens økosystem: De fleste servere, offentlige skyer, Docker-containere og Kubernetes-klynger i produksjon kjører på Linux.Fra store europeiske aktører til små oppstartsbedrifter, inkludert offentlige organer, er det potensielle omfanget av påvirkning enormt.
CVE-2026-31431: faktisk omfang og berørte systemer
Kopieringsfeil oppstår på grunn av en optimalisering introdusert i Linux-kjernen rundt 2017 og påvirker stabile versjoner i nesten et tiår. I praksis faller enhver kjerne som er kompilert mellom 2017 og slutten av april/begynnelsen av mai 2026 innenfor risikovinduet, med mindre den har mottatt de spesifikke oppdateringene.
De berørte fordelingene inkluderer blant annet Ubuntu (inkludert 24.04 LTS), Debian, Fedora, Red Hat Enterprise Linux (RHEL), SUSE, Amazon Linux, Arch og derivater. Forskernes analyse viser at den samme utnyttelsen fungerer uendret på Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 og SUSE 16, med en bruker med en ikke-privilegert uid som oppnår root i alle tilfeller.
Dette er ikke begrenset til fysiske servere. Sårbarheten påvirker også... skyinstanser (AWS, Google Cloud, Azure), Docker-containere, Kubernetes-noder og innebygde eller IoT-enheter som bruker kjerner innenfor det berørte området. I typiske miljøer med flere leietakere hos europeiske skyleverandører utgjør muligheten for rettighetseskalering innenfor en delt node en ekstra risiko.
I følge teknisk dokumentasjon og leverandørkommunikasjon innebærer tiltak for å redusere problemet oppdatering til kjerneversjoner som inkluderer spesifikke oppdateringer for CVE-2026-31431, for eksempel grenene 6.18.x, 6.19.x, 7.0.x og deres tilsvarende i LTS-grenene som er pakket av hver distribusjon. Der pakker ikke er tilgjengelige ennå, anbefaler noen CSIRT-er midlertidig deaktivere spesifikke komponenter i kryptografisk delsystem som et midlertidig tiltak.
Teknisk anatomi: Hvordan en firebyte-feil havner i roten
På et lavt nivå kombinerer Copy Fail smart to sjelden deaktiverte deler av kjernen: grensesnittet AF_ALG, som eksponerer det kryptografiske delsystemet for brukerområdet, og systemkallet skjøte (), som tillater å flytte minnesider mellom deskriptorer uten å kopiere dem.
Angrepet er konstruert slik: angriperen åpner en AF_ALG-socket og tilknytter den til AEAD-modusen til algoritmen. autentisiteterBruk deretter splice() for å tilordne sider fra sidebufferen til en lesbar fil (for eksempel, /usr/bin/su eller lignende setuid-binærfiler) i den kryptografiske operasjonens datastruktur. Når den starter dekryptering, behandler kjernen operasjonen som på stedet og bruker utdatabufferen som arbeidsområde, og skriver fire byte over av den tillatte grensen.
Hvis den bufferen tilhører sidebufferen til den valgte filen, havner disse fire bytene i minnet som er tilknyttet binærfilen, ikke på disken. På denne måten kan angriperen med stor presisjon velge hvilken side, hvilket forskyvning og hvilke verdier som skrives, og oppnå en stille og bærbar minnekorrupsjonVed å gjenta prosessen er det mulig å injisere en komplett skallkode som vil bli utført med root-rettigheter når den forgiftede binærfilen startes.
Det viktigste trikset er at den endrede siden Den er ikke merket som «skitten»Derfor skriver ikke synkroniseringsoperasjoner den tilbake til disken. Filen i filsystemet forblir intakt, mens versjonen i minnebufferen endres. Inntil den siden fjernes fra sidebufferen og lastes inn på nytt fra disken, vil enhver prosess som leser den binærfilen kjøre manipulert kode.
Sammenligning med Dirty COW og Dirty Pipe: et sprang i sniking og presisjon
Kopifeil oppstår ikke i et vakuum. I de senere årene har Linux-kjernen lidd av andre feil i privilegiumsøkning som også utnyttet samhandling med side CacheBlant de mest kjente er Skitten ku (CVE-2016-5195) y Skittent rør (CVE-2022-0847), to sårbarheter som setter systemadministratorer og tjenesteleverandører i sjakk.
Dirty COW utnyttet en kappløpstilstand i kopier-ved-skriving-implementeringen for å skrive til sider merket som skrivebeskyttet. Det var effektivt, men relativt støyende: det krevde flere forsøk og genererte høyt CPU-forbruk og etterlot et ganske iøynefallende aktivitetsmønster. Dirty Pipe, derimot, utnyttet et problem i pipe-buffere til å skrive til sider tilknyttet filer, men det påvirket bare kjerner fra versjon 5.8 og utover og etterlot flere spor.
Copy Fail, derimot, skiller seg ut ved å være kirurgisk og deterministiskDen er ikke avhengig av kappløpsforhold, fungerer på ulike arkitekturer og påvirker et mye bredere spekter av kjerneversjoner. Videre unngår designet å berøre disken, slik at den enkelt kan omgå vanlige integritetskontroller basert på fil-hasher eller filsystemverifiseringer.
Når det gjelder yrket, anser mange eksperter Copy Fail som en naturlig utvikling av teknikkene man ser i Dirty COW og Dirty Pipe, men raffinert til det ekstreme: mindre støy, større portabilitet og en tilnærmet 100 % suksessrate på sårbare systemer. For organisasjoner med kompleks infrastruktur er kombinasjonen av Høy pålitelighet og lav sikt Det er det som gjør det til en spesielt alvorlig trussel.
Vanskelig å oppdage: hvorfor det nesten ikke etterlater spor
Et av de mest bekymringsfulle aspektene ved Copy Fail er dens evne til å å gå uoppdaget i standard overvåkingssystemerSiden sårbarheten bare påvirker sidens hurtigbuffer og ikke endrer innholdet på disken, oppdager ikke mekanismer basert på sammenligning av fil-hasher eller verifisering av digitale signaturer manipulasjonen.
Fra et filsystemperspektiv forblir binærfilen uendret. Det logges ingen skrivinger til VFS-en, ingen midlertidige filer opprettes, og ingen støyende feilsøkingsprogrammer eller verktøy brukes. Angrepet er begrenset til en håndfull systemkall relatert til AF_ALG og splice(), som i mange miljøer ikke engang blir spesifikt revidert.
Det eneste potensielle sporet kan være i svært detaljerte revisjonslogger som registrerer bruken av AF_ALG-grensesnittet og visse kryptografiske operasjoner, men dette er langt fra standardkonfigurasjonen på de fleste produksjonsservere, både i Spania og resten av Europa. I skymiljøer, der operatører administrerer tusenvis av noder, er det uvanlig å ha et så detaljert loggingsnivå for alle maskiner.
For å komplisere saken ytterligere, kan den injiserte skallkoden utformes for å minimere mistenkelige handlinger: å utføre korte kommandoer, åpne diskrete bakdører eller introdusere mindre endringer i nettverkskonfigurasjoner. I det scenariet, Vinduet mellom første utnyttelse og oppdagelse kan være langt.spesielt hvis det ikke er EDR- eller atferdsverktøy distribuert på serverne.
AI-assistert oppdagelse og utnyttelse i praksis
Kopieringsfeilen ble lokalisert av Xint Code-forskerteamet ved hjelp av AI-assisterte analyseverktøyI følge forklaringen deres var plattformen deres i stand til å spore anomale interaksjoner i det kryptografiske delsystemet og finne den farlige kombinasjonen mellom AF_ALG, splice() og den in-place optimaliseringen som ble introdusert i 2017 i algif_aead-modulen.
Oppdagelsesprosessen tok bare omtrent en time med beregningstid, noe som har fått sikkerhetsmiljøet til å ringe: hvis forsvarslaboratorier kan finne denne typen feil med AI i løpet av uker, er det rimelig å tro at Fiendtlige etterretningstjenester eller kriminelle grupper kunne ha utnyttet dem i stillhet i årevis.Publiseringen av det offentlige konseptutprøvingssystemet og den detaljerte analysen bekrefter bare risikoen, men skaper den ikke.
Direktøren for CISA bestemte seg for å inkludere CVE-2026-31431 i KEV-katalogen etter å ha bekreftet bevis på aktiv utnyttelse i virkelige miljøerikke bare laboratorietester. Denne avgjørelsen er basert på bindende operasjonsdirektiv 22-01, som krever bevis på bruk av fiendtlige aktører før en sårbarhet klassifiseres som utnyttet. I praksis peker dette på APT-grupper eller gjenger med avanserte evner som allerede har integrert utnyttelsen i sine angrepskjeder.
Firmaer som Sophos og HispaSecs responsteam har bekreftet eksistensen av kombinerte angrep der Copy Fail brukes som den andre lenken: først oppnås lokal tilgang gjennom phishing, svake legitimasjonsoplysninger eller ondsinnede pakker (for eksempel i NPM-økosystemer), og deretter lanseres utnyttelsen for å eskalere til roten og ta full kontroll over serveren eller containernoden.
Implikasjoner for Spania og Europa: kritisk infrastruktur og offentlig sektor
I spansk kontekst er etatene med ansvar for cybersikkerhet – først og fremst CCN-CERT og CNI– de har advart i årevis om risikoen for privilegiumsøkning på Linux-systemer som støtter kritisk infrastruktur. Det anslås at det finnes tusenvis av dem i Spania. sensitive anlegg koblet til internett, mange av dem på Linux eller avledede systemer, inkludert energi-, vann-, transport-, helse- og finansielle tjenestenettverk.
I slike miljøer har en sårbarhet som Copy Fail en dobbel effekt. På den ene siden gir den en angriper som allerede har fått tilgang til nettverket (for eksempel ved å utnytte en eksponert tjeneste eller en konfigurasjonsfeil) raskt hoppe til administratorrettigheterPå den annen side kompliserer dens snikende natur attribusjon og rettsmedisinsk analyse, noe som gjør det vanskelig å vite når et system ble kompromittert og hva som ble gjort med det.
CISAs beslutning om å sette fristen for oppdatering May 15 2026 For amerikanske føderale etater har den blitt brukt som referanse i andre land. I Spania har CCN-CERT hevet alvorlighetsgraden knyttet til denne sårbarheten for myndighetsmiljøer, og publisering forventes. Spesifikke tekniske merknader for kritisk infrastruktur, med detaljerte retningslinjer for oppdatering, deaktivering av moduler og styrking av deteksjonstiltak.
På europeisk nivå, byråer som ENISA Og diverse nasjonale CERT-er (inkludert de i Frankrike, Tyskland, Italia og de nordiske landene) innlemmer Copy Fail i sine risikomatriser, spesielt når det gjelder suverene skymiljøer, omfattende virtualiseringsplattformer og delte tjenester som brukes av flere offentlige etater. Denne trusselvektoren vil bli ansett som en prioritet så lenge en betydelig andel av systemene forblir uoppdaterte.
Innvirkning på oppstartsbedrifter og SaaS-selskaper basert på Linux
Det er ikke bare store infrastrukturprosjekter som er i søkelyset. Mange Spanske og europeiske teknologibaserte oppstartsbedrifter De er nesten utelukkende avhengige av Linux-servere som ligger i offentlige skyer som AWS, Google Cloud eller Azure, eller av lokale hosting- og VPS-leverandører. I denne typen selskaper, ofte uten et dedikert sikkerhetsteam, er kjernepatchhåndtering vanligvis henvist til en sekundær prioritet.
Realiteten er den basisbildene av virtuelle maskiner og containere De oppdateres ikke alltid automatisk. Det er vanlig at en oppstartsbedrift bygger infrastrukturen sin på et relativt gammelt AWS AMI- eller Docker-image og replikerer det uten å sjekke om kjernen er oppdatert. I et slikt scenario kan en angriper som får begrenset kodeutførelse (for eksempel gjennom en sårbarhet i webapplikasjonen eller en kompromittert NPM-pakke) bruke Copy Fail til å bli root i løpet av sekunder.
For denne typen selskaper er virkningen ikke bare teknisk, men også operasjonelle og økonomiskeEn vellykket rettighetseskalering kan føre til tyveri av hele databaser, eksponering av immaterielle rettigheter, tilgang til tredjeparts API-nøkler eller manipulering av distribusjonskjeden. Videre kan juridiske forpliktelser til å rapportere sikkerhetsbrudd (som de som følger av GDPR) føre til betydelige straffer og tap av tillit fra kunder og investorer.
Eksperter anbefaler CTO-er og tekniske ledere iverksett umiddelbart flere grunnleggende tiltak: sjekk kjerneversjonen på alle maskiner ved hjelp av uname-rBruk prioriterte sikkerhetsoppdateringer, skann containerbilder med verktøy som Trivy eller Grype, og konfigurer automatiske oppdateringspolicyer, i det minste for de mest sensitive produksjonsmiljøene.
Kombinasjonen er farlig: en ondsinnet NPM-pakke kan gi en angriper utføre kommandoer som en ikke-privilegert bruker på en Linux-server eller i en container. Derfra blir Copy Fail den perfekte snarveien for å ta full kontroll over systemet. I oppstartsbedrifter som baserer backend-systemene sine på Node.js, gjør dette package.json-filen og dens avhengigheter til et kritisk inngangspunkt.
Som avbøtende tiltak er det tilrådelig å aktivere npm revisjon I CI/CD-pipelines bør du bruke avhengighetsanalysetjenester som Snyk eller Dependabot, og manuelt gjennomgå introduksjonen av nye biblioteker, spesielt i disse månedene når angripernes interesse for denne vektoren er spesielt høy. Å fryse versjoner av kritiske avhengigheter i flere uker etter en kopifeilavsløring kan også redusere angrepsflaten.
For selskaper som mistenker at de har blitt kompromittert, er de anbefalte trinnene klare: isoler de berørte serverne, gjenoppbygg systemer fra rene imager, roter alle påloggingsinformasjoner og nøkler tilknyttet, og vurdere plikten til å varsle klienter og kompetente myndigheter dersom tilgang til sensitive data har skjedd.
Forholdet mellom angrep i forsyningskjeden og NPM-økosystemet
Copy Fail handler ikke alene. Flere nylige rapporter har indikert en økning i ataques a la cadena de suministro de softwareDette gjelder spesielt i økosystemer som NPM (Node.js), der populære pakker har blitt kompromittert for å injisere skadelig kode. Tidligere tilfeller av biblioteker med millioner av ukentlige nedlastinger som er blitt modifisert for å utføre eksterne kommandoer har skapt bekymring i hele bransjen.
Kombinasjonen er farlig: en ondsinnet NPM-pakke kan gi en angriper utføre kommandoer som en ikke-privilegert bruker på en Linux-server eller i en container. Derfra blir Copy Fail den perfekte snarveien for å ta full kontroll over systemet. I oppstartsbedrifter som baserer backend-systemene sine på Node.js, gjør dette package.json-filen og dens avhengigheter til et kritisk inngangspunkt.
Som avbøtende tiltak er det tilrådelig å aktivere npm revisjon I CI/CD-pipelines bør du bruke avhengighetsanalysetjenester som Snyk eller Dependabot, og manuelt gjennomgå introduksjonen av nye biblioteker, spesielt i disse månedene når angripernes interesse for denne vektoren er spesielt høy. Å fryse versjoner av kritiske avhengigheter i flere uker etter en kopifeilavsløring kan også redusere angrepsflaten.
For selskaper som mistenker at de har blitt kompromittert, er de anbefalte trinnene klare: isoler de berørte serverne, gjenoppbygg systemer fra rene imager, roter alle påloggingsinformasjoner og nøkler tilknyttet, og vurdere plikten til å varsle klienter og kompetente myndigheter dersom tilgang til sensitive data har skjedd.
Kjernefellesskapets respons og oppdateringsprosess
Fremveksten av Copy Fail har nok en gang satt søkelyset på koordinert prosess for avsløring av sårbarheter i Linux-kjernen. I dette tilfellet kom den tidlige utgivelsen av tekniske detaljer og konseptutviklingen før alle distribusjoner hadde oppdateringene sine klare, noe som har skapt spenninger mellom forskere, vedlikeholdere og produsenter.
Vedlikeholdere av stabile grener, som Greg Kroah-Hartman, har påpekt vanskeligheten med å administrere sikkerhetsoppdateringer når informasjon slippes ufullstendig eller for tidlig. Likevel ble kjerneversjoner med spesifikke rettelser for CVE-2026-31431 utgitt på tvers av flere grener i løpet av få dager, og distribusjoner begynte å pakke og distribuere oppdateringer gjennom sine sikkerhetskanaler.
For organisasjoner betyr dette behovet for å ta tak i Kjerneoppdateringer som en kritisk prioritetikke som et enkelt rutinemessig vedlikehold. Når det gjelder kopifeil, indikerer tidsrammene som er satt av CISA og replikert, i større eller mindre grad, av ulike europeiske CERT-er at responstiden bør måles i dager, ikke måneder.
Utover den umiddelbare oppdateringen, fremhever denne episoden nok en gang viktigheten av å ha veldefinerte prosesser for håndtering av sårbarheter: oppdatert systeminventar, abonnement på sikkerhetspostlister, automatisering av oppdateringsdistribusjoner og beredskapsplaner for å koordinere omstarter i forretningskritiske tjenester.
I dag har Copy Fail etablert seg som en ubehagelig påminnelse om hvor langt Sikkerheten til Linux-infrastrukturen er et delt ansvar mellom kjerneutviklere, distributører, skyleverandører og sluttbrukeradministratorer. Sårbarheten har ligget i dvale i årevis i millioner av maskiner og har bare kommet frem i lyset takket være en kombinasjon av tradisjonell forskning og kunstig intelligens. Om det ender opp med å bli en mindre skrekk eller blir inngangsporten til alvorlige hendelser i Spania og Europa, vil i stor grad avhenge av hvor raskt oppdateringer installeres og sikkerhetskontrollene styrkes i hvert ledd i kjeden.
