Copy Fail: aktívne zneužívaná zraniteľnosť Linuxového jadra

Jadro operačných systémov Linux obsahuje od roku 2017 vysoko závažnú zraniteľnosť, ktorá umožňuje neprivilegovanému používateľovi zapisovať do pamäte v rámci page cache súborov. Môže tak prepisovať bajty, ktoré definujú jeho oprávnenia, čím môže získať oprávnenia používateľa root. Zraniteľnosť je aktívne zneužívaná.

Zraniteľné systémy:

  • Distribúcie Linux s verziou jadra od roku 2017

Opis činnosti:

CVE-2026-31431 (CVSS skóre 7,8)

Linuxové jadro obsahuje v kryptografickom module algif_aead vysoko závažnú zraniteľnosť, ktorú môže lokálny útočník s oprávnením štandardného používateľa zneužiť na eskalovanie svojich oprávnení na úroveň používateľa root. Súvisí s možnosťou zápisu do pamäte mimo povolené hodnoty kvôli nevhodnému narábaniu so zoznamami scatter-gather. Útočník má možnosť v pamäti RAM prepísať 4 bajty v page cache ľubovoľného súboru, ktorý môže čítať, a tak získať oprávnenia root.

V istých prípadoch dovoľuje zraniteľnosť obísť zabezpečenie v rámci neprivilegovaných kontajnerov a uniknúť z nich do hostiteľského systému.

Americká CISA pridala zraniteľnosť do katalógu aktívne zneužívaných (KEV). Chyba zabezpečenia dostala názov Copy Fail.

Možné škody:

  • Eskalácia oprávnení
  • Obídenie bezpečnostných prvkov

Odporúčania:

Bezodkladná aktualizácia jadra vašej distribúcie Linux na opravenú verziu, ak je dostupná. Prioritizujte systémy (uzly Kubernetes a CI/CD), ktoré sú vystavené nedôveryhodným prostrediam.

Pokiaľ pre vašu distribúciu oprava zraniteľnosti ešte neexistuje, alebo nie je možné aktualizovať, môžete zraniteľnosť mitigovať zakázaním modulu algif_aead:

  • echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif.conf
  • rmmod algif_aead

Môžete tiež blokovať rozhranie AF_ALG pomocou politík seccomp.

Odkazy: