Специалисты по кибербезопасности предупреждают о выходе в открытый доступ кода, позволяющего получить полный контроль над большинством систем на базе Linux. Критическая брешь в ядре операционной системы ставит под угрозу облачную инфраструктуру, серверы дата-центров и персональные компьютеры. Исследователи из компании Theori опубликовали подробности и готовый сценарий атаки спустя пять недель после уведомления разработчиков ядра, однако многие популярные дистрибутивы на момент публикации не успели выпустить обновления.
Суть проблемы и масштаб угрозы
Уязвимость, получившая идентификатор CVE-2026-31431 и название CopyFail, относится к классу локального повышения привилегий (LPE). Это означает, что злоумышленник или вредоносная программа, уже имеющая минимальный доступ к системе, может мгновенно стать суперпользователем (root). CopyFail считается крайне опасной из-за своей универсальности: опубликованный сценарий на языке Python работает на различных дистрибутивах без необходимости адаптации кода под конкретную версию ядра.
В обзоре отмечается, что уязвимость позволяет выполнять следующие действия:
- Взламывать изолированные контейнеры в средах Kubernetes.
- Получать доступ к данным других пользователей на серверах совместного хостинга.
- Компрометировать системы непрерывной разработки и интеграции (CI/CD) через вредоносные запросы.
- Атаковать подсистемы WSL2 на устройствах под управлением Windows.
Технические причины и стабильность взлома
В отличие от многих классических ошибок, связанных с переполнением памяти или «состоянием гонки» (когда успех атаки зависит от случайного стечения обстоятельств), CopyFail базируется на логической ошибке в криптографическом API ядра Linux. Проблема обнаружена в механизме обработки протокола IPsec. При выполнении определенных операций система использует буфер назначения как временную область памяти и записывает 4 байта данных за пределы разрешенного региона.
По словам экспертов, именно логическая природа ошибки делает эксплойт невероятно надежным. Он не требует подбора адресов памяти и срабатывает практически в 100% случаев. В ходе тестирования была подтверждена успешная работа скрипта в таких системах, как Ubuntu 22.04, Amazon Linux 2023, SUSE 15.6 и Debian 12.
Критика процесса раскрытия данных
Ситуация вызвала споры в профессиональном сообществе из-за поспешной публикации рабочего кода. Хотя основные ветки ядра Linux (версии 7.0, 6.12.85, 6.6.137 и другие) получили исправления, многие поставщики операционных систем не успели интегрировать их в свои сборки. Аналитики называют этот период «окном нулевого дня», когда об уязвимости знают все, а инструментов защиты у большинства администраторов еще нет.
В интервью профильным изданиям эксперты отметили неудовлетворительную координацию между исследователями и вендорами. На момент массового распространения информации об уязвимости только Arch Linux и RedHat Fedora имели готовые патчи. Представители Theori сообщили, что обнаружили брешь с помощью специализированного инструмента на базе искусственного интеллекта, потратив на сканирование кода ядра около одного часа.
Рекомендации для пользователей
Учитывая высокую вероятность использования CopyFail в реальных атаках, администраторам систем рекомендуется незамедлительно проверить наличие обновлений безопасности от поставщиков используемых дистрибутивов. Особое внимание следует уделить серверам, где запускается сторонний код или предоставляется доступ множеству пользователей, так как именно в таких условиях риск эксплуатации локального повышения привилегий максимален.
