Linux под осадой.
Забудьте про свои модные файрволы. Только что появился публичный эксплойт для противной уязвимости в Linux. Он даёт атакующим root-доступ. Представьте: дата-центры, ваш сервер, возможно, даже ваш домашний ПК. Аварийные сирены воют. Защитники мечутся. Это полный бардак.
Это не какая-то там теоретическая шепотка. Исследователи из Theori опубликовали код эксплойта в среду. Пять недель назад они уведомили команду ядра Linux. Исправления существуют для нескольких версий. Но большинство дистрибутивов Linux? Всё ещё под ударом. Эксплойт появился раньше исправлений.
Катастрофа ‘CopyFail’
Эта критическая уязвимость? CVE-2026-31431, получившая прозвище CopyFail. Это локальное повышение привилегий. Скучный технический термин, не так ли? Это означает, что кто-то, уже находящийся в системе, даже без каких-либо прав, может стать королём. Рутом. Точка.
И этот случай — настоящая бомба. Один скрипт. Никаких модификаций не требуется. Работает везде. Речь идёт не об одном сервере. Речь о совместной инфраструктуре. Контейнеры Kubernetes? Раскрыты настежь. Многопользовательские системы? Раздербанены. Даже CI/CD пайплайны, эта священная территория разработчиков, уязвимы. Атакующий попадает на уязвимую систему — скажем, через взломанный плагин WordPress — запускает этот скрипт, и БАМ. Он root. Любой другой пользователь на этом хосте? Попал под раздачу. Эксплойт не даёт им войти, он просто делает то, что происходит после того, как они оказались внутри, ужасающе простым.
“Локальное повышение привилегий” звучит сухо, так что позвольте мне разложить это по полочкам. Это означает: атакующий, который уже имеет способ запускать код на машине, даже будучи самым непримечательным непривилегированным пользователем, может повысить себя до root. Оттуда он может читать каждый файл, устанавливать бэкдоры, наблюдать за каждым процессом и перемещаться на другие системы.
Это не какая-то там вероятностная гонка состояний. Это прямая логика. В криптографическом API ядра есть изъян. Простая ошибка. Операция ‘copy’ на самом деле не копирует данные, когда должна. Она записывает данные за пределы намеченного буфера. Словно вы написали что-то на обоях за пределами предназначенной рамки для картины. Theori объясняет это так: “‘Копирование’ байтов AAD ESN ‘не удаётся’ остаться в пределах целевого буфера.” Просто. Разрушительно.
Это худший Linux-эксплойт на свете?
Некоторые опытные специалисты по безопасности называют его “худшей уязвимостью для становления root в ядре за последнее время”. Высокая оценка. Они сравнивают его с Dirty Pipe (2022) и Dirty Cow (2016). Оба активно эксплуатировались. Те были плохи. Это может быть хуже.
Вот в чем загвоздка. Дистрибьюторы Linux любят придерживаться старых версий ядра. Они бэкпортируют исправления. Это знакомый танец. Но на этот раз? Theori, похоже, не координировались с дистрибьюторами перед публичным объявлением. Фактически, это zero-day. Или, как некоторые его называют, “пробел в исправлениях zero-day”.
Уилл Дорманн, старший аналитик в Tharros Labs, не стеснялся в выражениях. Он назвал координацию “ужасной работой”. Его аргумент? Theori перечислили затронутых поставщиков. Они посоветовали читателям применить исправления от поставщиков. Но они никогда не проверяли, действительно ли у этих поставщиков были исправления. Ни у кого не было. Головокружительно, не правда ли?
Попытаться получить комментарий от Theori? Шансов мало. Попытки связаться с ними не увенчались успехом. Тем временем, дистрибутивы вроде Arch Linux, которые действительно исправили уязвимость, — счастливчики. Остальные? Молятся, чтобы атакующий их не нашёл первым.
Это не просто техническая проблема. Это сбой координации. Публичное раскрытие до широкомасштабного исправления. Это оставляет цифровой мир беззащитным. Для всех, кто использует Linux, особенно в совместной среде, следующие несколько недель будут настоящим испытанием на прочность. Установка исправлений имеет первостепенное значение. Но ущерб, возможно, уже нанесён. Эксплойт вышел. Кот выпущен из мешка, и он уже root-пользователь.
