CISA добавляет уязвимость Linux Copy Fail в список эксплуатируемых ошибок

Недавно обнаруженная уязвимость в безопасности Linux привлекла внимание американских киберслужб после того, как исследователи предупредили, что злоумышленники могут использовать небольшой скрипт на Python для получения прав root на уязвимых системах.

Резюме

• CISA добавила Copy Fail в список известных эксплуатируемых уязвимостей после сообщений о активном использовании Linux.
• Исследователи сообщили, что злоумышленникам необходимо предварительно иметь доступ к коду, прежде чем использовать уязвимость для получения прав root.
• Криптовалютные биржи и узлы могут пересмотреть уязвимость Linux, поскольку многие критические системы работают на уязвимых дистрибутивах.

Уязвимость, известная как Copy Fail и отслеживаемая как CVE-2026-31431, затрагивает многие дистрибутивы Linux, выпущенные с 2017 года. CISA добавила эту уязвимость в каталог известных эксплуатируемых уязвимостей, ссылаясь на риск активной эксплуатации.

Copy Fail — это уязвимость повышения привилегий в локальной среде в ядре Linux. Она сама по себе не предоставляет удалённый доступ. Злоумышленник должен уже иметь выполнение кода на системе, чтобы использовать уязвимость для получения прав root.

Исследователи безопасности сообщили, что уязвимость затрагивает основные дистрибутивы Linux, включая Ubuntu, Red Hat, SUSE и Amazon Linux. Microsoft также предупредила, что эта уязвимость может повлиять на облачные рабочие нагрузки и среды Kubernetes.

Исследователи предупреждают о простом пути эксплуатации

Theori и Xint Code связали проблему с криптосистемой ядра Linux. Исследователи заявили, что уязвимость позволяет злоумышленнику повреждать кеш страниц в памяти для читаемых файлов, включая привилегированные бинарные файлы.

Исследователь Мигель Ангел Дуран описал эксплойт как необычно простой, сказав: «10 строк Python» могут быть достаточными для получения прав root на уязвимых системах. Другой исследователь назвал уязвимость «безумной», выражая обеспокоенность тем, насколько малым может быть эксплойт.

Более того, CISA добавила CVE-2026-31431 в свой каталог известных эксплуатируемых уязвимостей 1 мая. Агентство заявило, что ядро Linux содержит ошибку неправильной передачи ресурсов, которая может позволить повышение привилегий.

Запись в KEV означает, что федеральные гражданские агентства должны соблюдать сроки устранения уязвимости, установленные CISA. Частные компании также часто используют этот каталог для определения приоритетов исправлений, особенно когда существует публичный код эксплойта.

Криптовалютные компании могут пересмотреть уязвимость Linux

Linux управляет многими криптовалютными биржами, блокчейн-узлами, валидаторами, хранителями и облачными торговыми системами. Это делает важным своевременное исправление уязвимостей для компаний, использующих критическую инфраструктуру на уязвимых дистрибутивах.

Уязвимость напрямую не нацелена на криптовалютные кошельки или блокчейны. Однако она может создать риск, если злоумышленник сначала получит доступ к серверу Linux, а затем использует Copy Fail для получения контроля root.

Генеральный директор Theori Брайан Пак заявил, что команда сообщила о уязвимости конфиденциально команде безопасности ядра Linux 23 марта. Патчи были включены в основной ядро 1 апреля, а CVE присвоен 22 апреля.

Компании по безопасности призвали пользователей применять исправленные ядра, когда они доступны. Sophos заявил, что существует публичный код эксплойта, и организации должны приоритетно устранять уязвимости на многопользовательских Linux-хостах и контейнерных платформах.