CISA thêm lỗi Copy Fail của Linux vào danh sách lỗi bị khai thác

Một lỗ hổng bảo mật Linux mới được tiết lộ đã thu hút sự chú ý từ các quan chức an ninh mạng của Mỹ sau khi các nhà nghiên cứu cảnh báo rằng kẻ tấn công có thể sử dụng một đoạn script Python nhỏ để chiếm quyền root trên các hệ thống bị ảnh hưởng.

Tóm tắt

• CISA đã thêm Copy Fail vào danh sách các lỗi đã bị khai thác sau các báo cáo về việc lạm dụng Linux đang diễn ra.
• Các nhà nghiên cứu cho biết kẻ tấn công cần có quyền truy cập mã trước đó trước khi sử dụng lỗ hổng để chiếm quyền root.
• Các sàn giao dịch tiền điện tử và các nút mạng có thể xem xét mức độ phơi nhiễm của Linux vì nhiều hệ thống quan trọng chạy các phân phối bị ảnh hưởng.

Lỗ hổng này, được biết đến với tên gọi Copy Fail và theo dõi là CVE-2026-31431, ảnh hưởng đến nhiều phân phối Linux được phát hành từ năm 2017 trở đi. CISA đã thêm lỗi này vào danh mục Các lỗ hổng đã bị khai thác được biết đến, trích dẫn rủi ro khai thác hoạt động

Copy Fail là một lỗi leo thang đặc quyền cục bộ trong kernel Linux. Nó không cung cấp quyền truy cập từ xa tự nó. Một kẻ tấn công phải đã có khả năng thực thi mã trên hệ thống trước khi sử dụng lỗ hổng để chiếm quyền root.

Các nhà nghiên cứu an ninh cho biết lỗ hổng ảnh hưởng đến các phân phối Linux lớn, bao gồm Ubuntu, Red Hat, SUSE và Amazon Linux. Microsoft cũng cảnh báo rằng lỗi này có thể ảnh hưởng đến các tải công việc đám mây và môi trường Kubernetes

Các nhà nghiên cứu cảnh báo về lối khai thác đơn giản

Theori và Xint Code liên kết vấn đề này với hệ thống mã hóa của kernel Linux. Các nhà nghiên cứu cho biết lỗi cho phép kẻ tấn công làm hỏng bộ đệm trang trong bộ nhớ của các tệp có thể đọc, bao gồm các tệp nhị phân có đặc quyền

Nhà nghiên cứu Miguel Angel Duran mô tả cách khai thác này khá đơn giản, nói rằng, “10 dòng Python” có thể đủ để chiếm quyền root trên các hệ thống bị ảnh hưởng. Một nhà nghiên cứu khác gọi lỗ hổng là “điên rồ,” phản ánh mối lo ngại về việc khai thác có thể nhỏ đến mức nào.

Hơn nữa, CISA đã thêm CVE-2026-31431 vào danh mục Các lỗ hổng đã bị khai thác được biết đến vào ngày 1 tháng 5. Cơ quan này cho biết kernel Linux chứa một lỗi chuyển giao tài nguyên không chính xác có thể cho phép leo thang đặc quyền

Danh sách KEV có nghĩa là các cơ quan dân sự liên bang phải tuân theo thời gian khắc phục của CISA. Các công ty tư nhân cũng thường sử dụng danh mục này để xếp hạng công việc vá lỗi, đặc biệt khi có mã khai thác công khai tồn tại.

Các công ty tiền điện tử có thể xem xét mức độ phơi nhiễm của Linux

Linux điều hành nhiều sàn giao dịch tiền điện tử, nút blockchain, trình xác thực, người giữ và hệ thống giao dịch dựa trên đám mây. Điều này làm cho việc vá lỗi trở nên quan trọng đối với các công ty vận hành hạ tầng quan trọng trên các phân phối bị ảnh hưởng.

Lỗ hổng này không trực tiếp nhắm vào ví tiền điện tử hoặc blockchain. Tuy nhiên, nó có thể tạo ra rủi ro nếu kẻ tấn công trước tiên truy cập vào một máy chủ Linux và sau đó sử dụng Copy Fail để lấy quyền kiểm soát root.

Giám đốc điều hành Theori, Brian Pak, cho biết nhóm đã báo cáo lỗ hổng này một cách riêng tư cho nhóm an ninh kernel Linux vào ngày 23 tháng 3. Các bản vá đã đến kernel chính vào ngày 1 tháng 4, trong khi CVE được phân bổ vào ngày 22 tháng 4

Các công ty an ninh đã kêu gọi người dùng áp dụng các kernel đã vá khi có sẵn. Sophos cho biết có mã khai thác proof-of-concept công khai tồn tại và các tổ chức nên ưu tiên sửa lỗi cho các máy chủ Linux đa thuê và nền tảng container