CISA ajoute la faille de copie Linux échouée à la liste des bugs exploités

Une nouvelle faille de sécurité Linux récemment divulguée a attiré l'attention des responsables de la cybersécurité américains après que des chercheurs ont averti que des attaquants pourraient utiliser un petit script Python pour obtenir un accès root sur les systèmes affectés.

Résumé

• La CISA a ajouté Copy Fail à sa liste de bugs exploités après des rapports d'abus actif sur Linux.
• Les chercheurs ont indiqué que les attaquants doivent avoir un accès préalable au code avant d'utiliser la faille pour obtenir des droits root.
• Les échanges de crypto-monnaies et les nœuds pourraient examiner leur exposition à Linux car de nombreux systèmes critiques utilisent des distributions affectées.

La faille, connue sous le nom de Copy Fail et suivie sous le numéro CVE-2026-31431, concerne de nombreuses distributions Linux publiées depuis 2017. La CISA a ajouté cette vulnérabilité à son catalogue de vulnérabilités connues exploitées, citant un risque d'exploitation active.

Copy Fail est une vulnérabilité d'escalade de privilèges locaux dans le noyau Linux. Elle ne donne pas d'accès à distance en soi. Un attaquant doit déjà avoir une exécution de code sur le système avant d'utiliser la faille pour obtenir des droits root.

Les chercheurs en sécurité ont indiqué que la faille affecte les principales distributions Linux, notamment Ubuntu, Red Hat, SUSE et Amazon Linux. Microsoft a également averti que la vulnérabilité pourrait affecter les charges de travail cloud et les environnements Kubernetes.

Les chercheurs mettent en garde contre une voie d'exploitation simple

Theori et Xint Code ont relié le problème au sous-système crypto du noyau Linux. Les chercheurs ont déclaré que la faille permet à un attaquant de corrompre le cache de pages en mémoire des fichiers lisibles, y compris les binaires privilégiés.

Le chercheur Miguel Angel Duran a décrit l'exploitation comme exceptionnellement simple, en disant : « 10 lignes de Python » pourraient suffire pour obtenir un accès root sur les systèmes affectés. Un autre chercheur a qualifié la faille d’« insensée », reflétant l’inquiétude quant à la petitesse de l’exploit.

De plus, la CISA a ajouté le CVE-2026-31431 à son catalogue de vulnérabilités connues exploitées le 1er mai. L'agence a indiqué que le noyau Linux contient une faille de transfert incorrect de ressources pouvant permettre une escalade de privilèges.

L'inscription au KEV signifie que les agences civiles fédérales doivent suivre le calendrier de remédiation de la CISA. Les entreprises privées utilisent également souvent ce catalogue pour hiérarchiser leurs travaux de correction, surtout lorsque du code d'exploitation public existe.

Les entreprises de crypto pourraient examiner leur exposition à Linux

Linux alimente de nombreux échanges de crypto, nœuds blockchain, validateurs, custodians et systèmes de trading basés sur le cloud. Cela rend la correction essentielle pour les entreprises qui gèrent des infrastructures critiques sur des distributions affectées.

La faille ne cible pas directement les portefeuilles crypto ou les blockchains. Cependant, elle pourrait créer un risque si un attaquant parvient d'abord à accéder à un serveur Linux, puis utilise Copy Fail pour obtenir un contrôle root.

Le CEO de Theori, Brian Pak, a déclaré que l'équipe a signalé la vulnérabilité en privé à l'équipe de sécurité du noyau Linux le 23 mars. Les correctifs ont été intégrés au noyau principal le 1er avril, tandis que le CVE a été attribué le 22 avril.

Les sociétés de sécurité ont exhorté les utilisateurs à appliquer les noyaux corrigés dès qu'ils sont disponibles. Sophos a indiqué qu'un code d'exploitation de preuve de concept public existe et que les organisations devraient prioriser la correction des hôtes Linux multi-locataires et des plateformes de conteneurs.