❗️ CopyFail угрожает всем популярным дистрибутивам ОС Linux
Обнаруженная вчера уязвимость CVE-2026-31431 (она же — CopyFail) живёт в коде с 2017 года и позволяет локальным непривилегированным пользователям получить полный контроль над ОС.
🔴 Как это работает
Всё, что нужно атакующему — Python-скрипт размером 732 байта. Эксплойт использует ошибку в криптографическом компоненте ядра (authencesn), которая позволяет записать всего 4 байта в кеш любого читаемого файла.
Злоумышленник, например, модифицирует в памяти стандартную утилиту su (смены пользователя) и запускает командную оболочку с права суперпользователя.
Наши эксперты завершают разработку универсального метода детектирования атак, использующих уязвимость CopyFail.
🔴 Кто в зоне риска
Больше всего уязвимость угрожает средам с несколькими пользователями:
- общие серверы разработки;
- узлы Kubernetes;
- приложения-агенты для CI/CD-задач (CI-раннеры), в которых выполняется непроверенный код из запросов на вытягивание (pull request);
- песочницы и агенты, запускающие пользовательские контейнеры.
🟢 Как защититься
- Обновиться. Патч вышел — это коммит a664bf3d603d. Большинство дистрибутивов уже распространяют обновление.
- До установки патча практическая мера защиты — отключить модуль ядра algif_aead.
- Эксплуатация атаки через первоначальный PoC, написанный на Python, детектируется Kaspersky Endpoint Detection and Response Expert.
Подробности — в материале на Securelist.
❗️ CopyFail угрожает всем популярным дистрибутивам ОС Linux Обнаруженная вчера уязвимость CVE-2026-31431 (она же — CopyFail) живёт в коде с 2017 года …
