Семь лет. Столько времени в ядре Linux таилась критическая уязвимость, подобно тикающей бомбе, позволяющей любому локальному пользователю заполучить root-привилегии. Речь идёт о «Copy Fail», официально CVE-2026-31431 — изъяне, который, как предупреждают исследователи, может скомпрометировать практически любой крупный дистрибутив Linux, выпущенный с 2017 года.
И вот в чём загвоздка: публичный эксплойт уже существует и, по сообщениям, работает надёжно. Это не просто теоретическая страшилка; это реальная и непосредственная угроза. Именно такие уязвимости заставляют хвататься за голову, особенно когда осознаёшь масштабы её распространения.
Логическая бомба, тикавшая десятилетие
Так что же такое Copy Fail?
Это уязвимость локального повышения привилегий, глубоко спрятанная в криптографической подсистеме ядра Linux. Задумайтесь на секунду: речь идёт не о переполнении буфера или неконтролируемом записи в память, с которыми мы сталкиваемся так часто. Это логический баг, тонкая ошибка в том, как ядро обрабатывает файловые данные в своём кэше памяти.
Суть такова: локальный пользователь может манипулировать закэшированной копией файла в памяти. Ключевой момент? Это изменение существует только в кэше страниц ядра. Сам файл на диске остаётся нетронутым. Это означает, что ваши обычные инструменты для анализа диска? Они его не увидят. Перезагрузка или даже давление на память системы очистят «испорченный» кэш, загрузив чистый файл. Это как призрак в машине, меняющий реальность только тогда, когда никто не смотрит.
Все фокусируются на уязвимостях, связанных с повреждением памяти в ядре Linux, но мы не должны игнорировать логические баги.
Эта цитата от исследователя 5unkn0wn — суровое напоминание о том, что самые коварные угрозы — не всегда самые громкие или технически сложные с точки зрения выполнения кода. Иногда достаточно простого недопонимания состояния.
Воссоединение «грязных» родственников
Понятно, что сравнения уже посыпались. Copy Fail ставят в один ряд с такими гигантами, как Dirty Cow (CVE-2016-5195) и Dirty Pipe (CVE-2022-0847). Обе эти уязвимости попали в заголовки, обе оказались в каталоге CISA «Известные эксплуатируемые уязвимости», и обе подорвали доверие к целостности ядра.
Но вот в чём Copy Fail, похоже, отличается. В отличие от хитрой гонки состояний Dirty Cow, для эксплуатации которой могли потребоваться множественные попытки, или специфических ограничений Dirty Pipe на место изменения данных в файле, Copy Fail, по сообщениям, просто работает. Никаких особых таймингов, никаких мудрёных ограничений. Просто активируй — и ты root.
Кто на самом деле уязвим?
Если вы используете систему Linux с версией ядра 4.14 или новее, вы, скорее всего, находитесь в зоне поражения. Эта версия ядра датируется 2017 годом. Да, вы не ослышались. Семь лет кода, молчаливо несущего этот изъян. Оригинальная исследовательская команда, RSO компании Tenable, указывает, что эта уязвимость была обнаружена с помощью инструмента AI-ассистированного сканирования безопасности Xint Code от Theori, что подчёркивает эволюционирующий ландшафт обнаружения уязвимостей.
Риск резко возрастает в общих средах. Представьте себе многопользовательские облачные системы, кластеры контейнеров, CI/CD-пайплайны, выполняющие недоверенный код. Поскольку эксплойт нацелен на общий файловый кэш ядра, он может даже «перепрыгивать» через границы контейнеров. На рабочей станции одного пользователя риск ниже — вам и так нужен локальный доступ для начала. Но в любой среде с общими вычислительными ресурсами или недоверенным вводом пользователя это сигнал тревоги.
Патчинг: Неутешительная реальность
На момент написания статус патчей, скажем так, неоднозначен. Arch Linux уже пропатчился. Ubuntu, SUSE и Red Hat находятся в процессе. Debian и Amazon Linux? Пока уязвимы. Дело не только в разработчиках ядра; дело в способности всей экосистемы реагировать, тестировать и развёртывать исправления.
А потом ещё и этот публичный эксплойт. Короткий скрипт на Python, легко доступный, который точно нацелен на привилегированный бинарный файл в памяти. Это устрашающе элегантная демонстрация мощи уязвимости, не требующая особых привилегий или сложной настройки. Просто запускаешь — и root-доступ твой.
За пределами непосредственной угрозы
Что также интригует, так это намёк от Theori: Copy Fail — не одинокий акт. Те же исследования выявили другие уязвимости ядра, по крайней мере, ещё одну проблему повышения привилегий. Это указывает на потенциально более глубокую архитектурную проблему или последовательный недосмотр в определённой подсистеме ядра. Мы будем внимательно следить за раскрытием других находок.
Пока что совет прост, хоть и пугающ: пропатчите свои системы. Проверьте версии ядра. А те, кто использует критически важную инфраструктуру на старых, непропатченных системах? Начните планировать простои. Это не тот баг, который вы можете позволить себе игнорировать, особенно с публичным эксплойтом и семилетним преимуществом.
А что насчет других дистрибутивов Linux?
Хотя представленная таблица перечисляет некоторые ключевые дистрибутивы, уязвимость затрагивает любой дистрибутив Linux, использующий ядро 4.14 или новее. Это охватывает огромное количество конфигураций и корпоративных развёртываний. Крайне важно связаться с вашим конкретным поставщиком дистрибутива для получения информации о статусе патчей и сроках их выпуска.
Сломает ли этот эксплойт мою систему?
Хотя эксплойт предоставляет root-доступ, его надёжное функционирование зависит от лежащей в основе уязвимости ядра. Применение официальных патчей ядра от вашего поставщика дистрибутива нейтрализует уязвимость и предотвратит успешное выполнение эксплойта, тем самым обеспечивая стабильность системы.
Похоже ли это на недавнюю атаку программ-вымогателей, о которой я слышал?
Хотя уязвимости повышения привилегий, подобные Copy Fail, часто используются злоумышленниками, занимающимися программами-вымогателями, для получения более глубокого доступа и контроля над системами, этот конкретный CVE является технической уязвимостью, которую необходимо исправить. Его влияние широко, и хотя он может стать вектором для будущих атак, сам по себе он не является программой-вымогателем.
