Linux уязвимост позволява root достъп от локален потребител

Picture of Здравко Боджов
Здравко Боджов
Уязвимости

Критичен local privilege escalation в Linux kernel

Публикуван е експлойт за уязвимостта CVE-2026-31431, известна като „Copy Fail“, която засяга почти всички Linux kernel версии, издадени след 2017 г. и позволява на локален неадминистраторски потребител да получи root права.

Уязвимостта вече има публичен proof-of-concept експлойт, който според изследователите може да работи в широк набор дистрибуции.

Как е открита

Проблемът е открит от компанията Theori чрез AI-базирана платформа за penetration testing. Анализът е фокусиран върху криптографския подсистемен модул crypto/ на Linux kernel, където уязвимостта е засечена сравнително бързо.

След докладване до kernel security екипа през март, пачовете са издадени в рамките на около седмица.

В какво се състои уязвимостта

„Copy Fail“ е логическа грешка в криптографската обработка на ядрото, която позволява:

  • 4-байтов запис в page cache на произволен файл
  • манипулация на съдържание в паметта на файлове
  • влияние върху изпълнение на setuid-root бинарни файлове

Комбинацията от AF_ALG socket интерфейса и системната функция splice() позволява на атакуващ да контролира тези записи.

Как се стига до root

Атаката работи по следния модел:

  • локален потребител активира крипто интерфейса
  • извършва контролирано записване в page cache
  • модифицира setuid-root бинарен файл в паметта
  • при изпълнение получава root привилегии

Според изследователите експлойтът е изключително надежден и работи на различни дистрибуции.

Засегнати системи

Уязвимостта е потвърдена върху:

  • Ubuntu 24.04 LTS
  • Amazon Linux 2023
  • RHEL 10.1
  • SUSE 16

и потенциално всички системи с уязвими версии на Linux kernel от 2017 до 2026 г.

Защо е опасна

„Copy Fail“ е сравнявана с известната уязвимост Dirty Pipe, но се смята за:

  • по-универсална (работи на повече версии)
  • по-лесна за експлоатация
  • без нужда от специфични kernel offsets
  • с много висока надеждност на експлойта

Пачове и версии

Уязвимостта е коригирана чрез премахване на проблемната „in-place“ оптимизация в крипто слоя.

Поправките са включени в:

  • Linux kernel 6.18.22
  • Linux kernel 6.19.12
  • Linux kernel 7.0

Временни мерки за защита

Докато обновленията се приложат, се препоръчва:

  • деактивиране на AF_ALG интерфейса
  • блокиране на algif_aead модула

Пример:

install algif_aead /bin/false
rmmod algif_aead

CVE-2026-31431 показва типичен, но критичен проблем в ядрото на Linux kernel – малка логическа грешка в оптимизация може да доведе до пълен компромис на системата, включително root достъп, което я прави особено опасна за cloud, CI/CD и multi-tenant среди.

#Copy Fail, # CVE-2026-31431, # Linux kernel, # privilege escalation, # киберсигурност
e-security.bg

Подобни

CISA дава 72 часа за реакция при KEV в LiteSpeed cPanel
17.06.2026
cisa
Активни атаки срещу критични уязвимости във Fortinet FortiSandbox
17.06.2026
fortinet
Cisco поправя активно използвана уязвимост в Catalyst SD-WAN Manager
16.06.2026
cisco
Критична уязвимост в Microsoft 365 Copilot
16.06.2026
Microsoft-Office-365
10-годишна уязвимост в phpBB позволява пълен достъп
15.06.2026
ai-generated-9296016_640
Microsoft отстрани проблем в Windows Server 2025
13.06.2026
2025server-150x150

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy