Copy Fail в ядре Linux: критический LPE-эксплойт
Компания Theori сообщила 29 апреля 2026 года о critical local privilege escalation уязвимости в ядре Linux, получившей название Copy Fail и идентификатор CVE-2026-31431. По данным отчета, проблема затрагивает все основные Linux distributions, выпущенные с 2017 года, и позволяет локальному пользователю получить full administrative control без паролей и специальных инструментов.
Что известно о Copy Fail
Уязвимость охватывает версии ядра Linux 4.14–7.0-rc и связана с логической ошибкой в механизме поддержки cryptographic templates в ядре. Эксплуатация выполняется через интерфейс сокетов AF_ALG, что делает атаку особенно опасной в средах, где одно ядро разделяют сразу несколько пользователей или workload, например на многопользовательских servers и в container clusters.
По оценке исследователей, эксплойт отличается редкой простотой: речь идет о минимальном Python-скрипте размером всего 732 bytes, который можно надежно запустить на затронутой системе. После успешной атаки злоумышленник получает возможность выполнять контролируемую запись, способную повлиять на критически важные файлы, включая setuid-binaries, например /usr/bin/su.
Как работает атака
Суть Copy Fail состоит в том, что злоумышленник манипулирует интерфейсом AF_ALG и добивается записи в чувствительные области файловой системы. Это открывает путь к быстрой эскалации привилегий, если атакующий уже имеет локальный доступ к Linux-среде.
- уязвимость эксплуатируется локально;
- не требует паролей;
- не требует специальных инструментов;
- может привести к полному административному контролю;
- особенно опасна на shared kernel инфраструктуре.
Patch доступен, но риск сохраняется
Хотя исправления уже существуют, на момент раскрытия информации они были развернуты не во всех distributions. Это означает, что многие системы продолжали оставаться уязвимыми до установки обновлений. Эксперты подчеркивают: из-за простоты эксплуатации окно риска сохраняется до тех пор, пока администраторы не применят patch.
Что обнаружила ReversingLabs
После публичного раскрытия Copy Fail компания ReversingLabs сообщила, что вскоре обнаружила несколько экземпляров вредоносного эксплойта, включая четыре различных Python-образца, созданных на основе исходного proof of vulnerability (PoC).
Эти образцы представляли собой вариации первоначального скрипта. Изменения были минимальными: например, отличались окончания строк или незначительно корректировались пробелы. На функциональность это не влияло, но показывало, что даже небольшие правки меняют хеш-значения и усложняют detection на основе hash.
«Подобная вариативность указывает на ограничения методов обнаружения на основе хешей», — следует из материалов отчета.
Ответ индустрии: YARA rules и производные реализации
В ответ на угрозу ReversingLabs разработала целевые YARA rules. Они варьируются от высокоточных правил, которые находят точные совпадения оригинального PoC, до более широких сигнатур, рассчитанных на выявление вариантов и compiled ELF-binaries, связанных с тем же эксплойтом.
Отдельного внимания заслуживает производная реализация на C под названием goodcopy.c. Она рассчитана на разные architectures и включает улучшенные механизмы очистки, позволяющие сбрасывать page cache после эксплуатации и тем самым предотвращать последующие атаки.
Почему это важно
Copy Fail демонстрирует, насколько опасными остаются ошибки в ядре Linux, если они затрагивают базовые механизмы работы системы и могут быть использованы с минимальными усилиями. Для администраторов и операторов инфраструктуры главный вывод очевиден: системы нужно обновлять без промедления, особенно если они используются в многопользовательских средах или в контейнерных кластерах.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
