CISA додає вразливість Linux Copy Fail до списку експлуатованих помилок

Нещодавно виявлена вразливість у безпеці Linux привернула увагу американських кіберофіцерів після того, як дослідники попередили, що зловмисники можуть використати невеликий скрипт на Python для отримання прав root на уражених системах.

Резюме

• CISA додала Copy Fail до свого списку експлуатованих вразливостей після повідомлень про активне зловживання Linux.
• Дослідники заявили, що зловмисникам потрібно мати попередній доступ до коду перед використанням вразливості для отримання прав root.
• Криптовалютні біржі та вузли можуть переглянути рівень уразливості Linux, оскільки багато критичних систем працюють на уражених дистрибутивах.

Вразливість, відома як Copy Fail і відслідковується як CVE-2026-31431, впливає на багато дистрибутивів Linux, випущених з 2017 року. CISA додала цю помилку до каталогу відомих експлуатованих вразливостей, посилаючись на ризик активного використання.

Copy Fail — це помилка підвищення привілеїв у локальній системі в ядрі Linux. Вона сама по собі не дає віддаленого доступу. Зловмисник повинен вже мати виконання коду на системі перед використанням вразливості для отримання прав root.

Дослідники з безпеки заявили, що вразливість впливає на основні дистрибутиви Linux, включаючи Ubuntu, Red Hat, SUSE та Amazon Linux. Microsoft також попередила, що ця помилка може вплинути на хмарні навантаження та Kubernetes-оточення.

Дослідники попереджають про простий шлях експлуатації

Theori та Xint Code пов’язали проблему з криптосистемою ядра Linux. Дослідники зазначили, що ця помилка дозволяє зловмиснику пошкодити кеш сторінок у пам’яті для читабельних файлів, включаючи привілейовані бінарні файли.

Дослідник Мігель Ангел Дуран описав експлойт як надзвичайно простий, сказавши: «10 рядків Python» можуть бути достатніми для отримання прав root на уражених системах. Інший дослідник назвав цю вразливість «безумною», висловлюючи занепокоєння щодо того, наскільки мала може бути ця експлуатація.

Крім того, CISA додала CVE-2026-31431 до свого каталогу відомих експлуатованих вразливостей 1 травня. Агентство повідомило, що ядро Linux містить помилку неправильного перенесення ресурсів, яка може дозволити підвищення привілеїв.

Зазначення у KEV означає, що федеральні цивільні агентства повинні дотримуватися графіка усунення вразливості CISA. Приватні компанії також часто використовують цей каталог для пріоритетного виправлення, особливо коли існує публічний код експлойту.

Криптовалютні компанії можуть переглянути рівень уразливості Linux

Linux використовується у багатьох криптовалютних біржах, вузлах блокчейну, валідаторах, кастодіанах та хмарних торгових системах. Це робить оновлення важливим для компаній, які керують критичною інфраструктурою на уражених дистрибутивах.

Вразливість не спрямована безпосередньо на криптогаманці або блокчейни. Однак вона може створити ризик, якщо зловмисник спочатку отримує доступ до Linux-сервера, а потім використовує Copy Fail для отримання контролю root.

Генеральний директор Theori Браян Пак повідомив, що команда приватно повідомила про вразливість команді безпеки ядра Linux 23 березня. Патчі були внесені до основного ядра 1 квітня, а CVE було присвоєно 22 квітня.

Компанії з безпеки закликали користувачів застосовувати виправлені ядра, коли вони доступні. Sophos заявила, що існує публічний код експлойту, і організації повинні пріоритетно виправляти багатоплатформові Linux-хости та платформи контейнерів.