Уязвимость Copy Fail в ядре Linux: локальное получение root и риск для контейнеров

CISA добавила уязвимость CVE-2026-31431 (Copy Fail) в ядре Linux в свой каталог эксплуатируемых уязвимостей CISA KEV, подтвердив её активную эксплуатацию: ошибка с оценкой CVSS 7.8 позволяет любому локальному пользователю без привилегий получить права root за счёт повреждения кэшированных в памяти исполняемых файлов, в том числе setuid-бинарников, что делает критичным немедленное обновление дистрибутивов Linux (особенно в облачных и контейнерных средах) до версий ядра с исправлением.

Технические детали уязвимости

Copy Fail (CVE-2026-31431), описанная в записи NVD CVE-2026-31431, представляет собой уязвимость локального повышения привилегий в подсистеме криптографических шаблонов аутентификации ядра Linux. CISA формулирует её как некорректную «передачу ресурсов между сферами», что в практическом плане приводит к возможности пользовательского процесса повлиять на объекты в более привилегированной области.

Ключевые факты по уязвимости:

• Идентификатор: CVE-2026-31431 (Copy Fail)
• Оценка: CVSS 7.8 (высокая опасность)
• Тип: локальное повышение привилегий (LPE) до root
• Вектор: локальный (AV:L), низкие требуемые привилегии, отсутствие взаимодействия с пользователем
• Подверженные системы: дистрибутивы Linux, поставляемые с 2017 года
• Исправления: ядро Linux версий 6.18.22, 6.19.12 и 7.0

Исследователи Theori и Xint показали, что проблема возникла не из одного ошибочного коммита, а из трёх по отдельности «безопасных» изменений в ядре, сделанных в 2011, 2015 и 2017 годах. В совокупности они привели к логической ошибке в обработке криптографического шаблона аутентификации, которую можно надёжно эксплуатировать с помощью очень компактного (около 732 байт) эксплойта на Python. На основе этого варианта уже появились реализации на Go и Rust, обнаруженные в открытых репозиториях.

Критическая особенность Copy Fail — целевой объект атаки: page cache, то есть кеш страниц в памяти, в котором ядро хранит содержимое файлов. Уязвимость позволяет непривилегированному пользователю искажать содержимое кэшированных страниц любого читаемого файла, включая setuid-бинарники. Как подчёркивает Wiz, страница в кеше является тем, что фактически исполняется процессором во время запуска бинарника, поэтому изменение page cache фактически модифицирует программу на лету без каких-либо записей на диск.

Отсюда вытекает типичный сценарий эксплуатации:

• злоумышленник с локальным доступом к системе использует уязвимость для изменения страниц в cache, соответствующих привилегированному бинарнику (например, /usr/bin/su);
• в изменённые страницы внедряется произвольный код;
• при запуске привилегированного бинарника выполняется уже модифицированный код, что даёт злоумышленнику права root.

Эксплойт использует только легитимные системные вызовы и не опирается на гонки или угадывание адресов в памяти. Это сразу снижает сложность эксплуатации и затрудняет детектирование поведенческими средствами: с точки зрения системы это выглядит как обычная работа приложения с криптографической подсистемой и файлами.

По данным Microsoft Defender Security Research Team, уже фиксируется «предварительная тестовая активность» вокруг CVE-2026-31431, а CISA, включив уязвимость в каталог KEV, прямо указывает на наличие эксплуатации в дикой природе.

По своей сути эта техника соответствует типичному сценарию эксплуатации уязвимости для повышения привилегий, который в терминах MITRE ATT&CK относится к эксплуатации локальных уязвимостей привилегий (Exploitation for Privilege Escalation).

Оценка воздействия и профиль риска

Потенциальное воздействие Copy Fail определяется не столько баллом CVSS, сколько реальным контекстом применения Linux:

• Облака и виртуализация. Linux доминирует в облачных инфраструктурах. Любой сценарий, где злоумышленник может запустить код на виртуальной машине или контейнере (например, через утечку ключей SSH или уязвимое веб-приложение), может быть эскалирован до полного контроля над операционной системой гостя и, при определённых условиях, до атак на хостовую платформу.
• Контейнерные платформы (Docker, LXC, Kubernetes). По оценке Kaspersky, Copy Fail представляет повышенный риск для контейнеризованных сред, поскольку процессы внутри контейнера по умолчанию получают доступ к подсистеме AF_ALG, если модуль algif_aead загружен в ядро хоста. В таком случае эксплуатация внутри контейнера может привести к выходу за пределы контейнера и получению контроля над физическим (или виртуальным) хостом, то есть к разрушению модели изоляции.
• Серверы общего пользования и multi-tenant-системы. Платформы для обучения, провайдеры хостинга и любые среды, где разные пользователи получают shell-доступ на один и тот же Linux-хост, становятся особенно уязвимыми: один неконтролируемый пользователь может получить root и скомпрометировать данные других клиентов.
• Критичная инфраструктура и госорганы. Для федеральных агентств США (FCEB) CISA установила жёсткий срок установки исправлений — до 15 мая 2026 года. Это отражает риск нарушения целостности и доступности критичных сервисов в случае успешной локальной компрометации.

С точки зрения бизнес-рисков последствия бездействия включают:

• полный захват сервера с возможностью последующего горизонтального и вертикального перемещения внутри инфраструктуры;
• подрыв доверия к целостности приложений: внедрение кода в привилегированные бинарники может использоваться как малозаметный механизм долговременной фиксации и обхода средств контроля целостности, работающих только с файловой системой;
• компрометацию конвейеров CI/CD: наличие у злоумышленника root на агентах сборки позволяет незаметно модифицировать создаваемые артефакты;
• регуляторные последствия при инцидентах, где root-доступ использован для утечки или разрушения данных, относящихся к критическим или персональным.

Практические рекомендации по защите

1. Оценка подверженности

Первоочередная задача — определить, какие системы могут быть уязвимы:

• проверьте версию ядра командой uname -r на серверах и рабочих станциях под управлением Linux;
• сопоставьте полученные версии с теми, в которые уже интегрировано исправление (6.18.22, 6.19.12, 7.0) или с обновлениями, выпущенными вашим поставщиком дистрибутива;
• проанализируйте среды, где есть возможность запуска кода от имени неполнопривилегированных пользователей: контейнерные кластеры, серверы с SSH-доступом для разработчиков, машины CI.

При сомнениях целесообразно свериться с информацией о CVE-2026-31431 в базе NVD и документацией поставщика дистрибутива или ядра (например, официальным сайтом kernel.org).

2. Патч-менеджмент и приоритизация

Рекомендуемый порядок действий по обновлению:

1. Высший приоритет (срочно): узлы, где возможен доступ посторонних или вредоносных процессов к локальному shell: серверы с публичным SSH-доступом, узлы Kubernetes, узлы с запущенными внешними контейнерами, сервера общего пользования.
2. Высокий приоритет: агенты CI/CD, инфраструктурные сервисы и базы данных, где компрометация root приведёт к каскадным последствиям.
3. Остальные системы: включить обновления ядра в ближайшее плановое окно обслуживания.

Для FCEB-агентств дедлайн задан CISA — до 15 мая 2026 года. Для коммерческих организаций разумно ориентироваться на аналогичные сроки: дни, а не месяцы.

3. Временные меры при невозможности немедленного обновления

Если оперативное обновление ядра невозможно (например, из-за ограничений в окнах простоя):

• Отключите уязвимый функционал. CISA рекомендует временно отключить затрагиваемую функциональность. Для практики это означает ограничение использования подсистемы AF_ALG и связанных модулей (в частности, algif_aead) в соответствии с рекомендациями поставщика дистрибутива.
• Усилите сетевую изоляцию. Сведите к минимуму возможность получения злоумышленником локального доступа: ограничьте SSH только по VPN или с доверенных адресов, ужесточите политику доступа к bastion-хостам.
• Пересмотрите политику доступа в контейнерных кластерах. Ограничьте запуск непроверенных контейнеров на узлах, где ещё не установлено обновлённое ядро, и по возможности избегайте запуска контейнеров с лишними привилегиями и доступом к криптографическим подсистемам ядра.
• Ужесточите контроль учётных записей. Минимизируйте количество пользователей с интерактивным доступом к системам и примените принцип наименьших привилегий для сервисных аккаунтов.

4. Мониторинг и обнаружение

Учитывая, что эксплойт опирается только на легитимные системные вызовы и не изменяет файлы на диске, традиционный контроль целостности файловой системы малоэффективен. Тем не менее возможны вспомогательные меры:

• усилить аудит запуска привилегированных бинарников (особенно setuid) и аномального поведения процессов с root-правами;
• отслеживать нетипичное использование криптографических подсистем ядра и AF_ALG там, где они обычно не задействованы прикладным программным обеспечением;
• пересмотреть правила поведенческого анализа в EDR/EDR-подобных решениях для Linux, добавив фокус на неожиданную эскалацию привилегий приложений, работающих от непривилегированных пользователей.

Ключевой вывод: любая среда, где потенциальный злоумышленник может запустить код на уязвимом Linux-хосте, должна рассматриваться как находящаяся под риском полного захвата, пока ядро не обновлено до версии с исправлением CVE-2026-31431 или не отключена соответствующая функциональность. Наиболее практичный шаг — в ближайшее окно обслуживания обновить ядро (или пакеты ядра дистрибутива) до версий, содержащих патч, с приоритетом для хостов с контейнерами, публичным SSH и многопользовательскими сценариями.