root-доступ «с одного запуска». Уязвимость в ядре Linux превратилась в универсальный ключ к миллионам серверов
Проблема в Linux сидела незамеченной с 2017 года. Зато теперь её заметили все — и не только исследователи.
Уязвимость в ядре Linux, получившая название CopyFail, уже начала приносить проблемы администраторам серверов по всему миру. Через несколько дней после того, как рабочий эксплойт опубликовали, злоумышленники принялись проверять системы на наличие дыры, которая позволяет получить полный контроль над устройством.
Проблема получила идентификатор CVE-2026-31431. Ошибка затрагивает ядро Linux и позволяет пользователю с минимальными правами повысить привилегии до уровня root на непропатченных системах. Уязвимость связана с возможностью изменять данные, доступные только для чтения.
Специалисты Theori обнаружили ошибку с помощью ИИ-инструмента и передали команде безопасности Linux ещё 23 марта. Крупные дистрибутивы Linux выпустили исправления до публичного раскрытия проблемы, после чего Theori опубликовала технические детали и демонстрационный эксплойт.
Код эксплойта написан на Python и уже успешно работает против Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 и SUSE 16. При этом специалисты предупредили, что потенциально уязвимы практически все популярные версии ядра Linux, выпущенные с 2017 года. В Theori подчеркнули, что один и тот же эксплойт без изменений срабатывает на разных дистрибутивах Linux и позволяет получать root-доступ «с одного запуска».
Ситуация быстро привлекла внимание Cybersecurity and Infrastructure Security Agency. Американское Агентство по кибербезопасности и защите инфраструктуры добавило CopyFail в каталог активно эксплуатируемых уязвимостей и потребовало от федеральных ведомств установить обновления до 15 мая.
О признаках атак сообщила и Microsoft. В компании заявили, что после того, как демонстрационный эксплойт опубликовали, системы защиты Microsoft Defender начали фиксировать первые попытки проверки уязвимых серверов. По оценке Microsoft, в ближайшие дни количество атак может резко вырасти. Опасность CopyFail связана с простотой эксплуатации. Атака не требует взаимодействия с пользователем. Злоумышленнику достаточно получить минимальный доступ к системе, после чего уязвимость позволяет быстро захватить полный контроль над сервером.
Причина проблемы скрывается в механизме обработки некоторых операций внутри ядра Linux. Ошибка позволяет вмешиваться в кэшированные данные способом, который изначально не должен был контролироваться пользователями. После того как стабильный эксплойт появился, особенность реализации фактически превратилась в универсальный способ повышения привилегий.