Copy Fail (CVE-2026-31431): aktywnie wykorzystywana luka w Linuksie umożliwia eskalację do root - Security Bez Tabu

Copy Fail (CVE-2026-31431): aktywnie wykorzystywana luka w Linuksie umożliwia eskalację do root

Cybersecurity news

Wprowadzenie do problemu / definicja

Copy Fail, oznaczona jako CVE-2026-31431, to poważna podatność typu local privilege escalation w jądrze Linuksa. Błąd dotyczy interfejsu kryptograficznego algif_aead i może umożliwić lokalnemu, nieuprzywilejowanemu użytkownikowi uzyskanie pełnych uprawnień root na niezałatanym systemie. Zagrożenie zyskało szczególne znaczenie, ponieważ zostało już powiązane z aktywnym wykorzystaniem w rzeczywistych atakach.

W skrócie

Luka obejmuje szeroki zakres wersji jądra Linuksa rozwijanych od 2017 roku i dotyczy wielu popularnych dystrybucji. Publicznie udostępniono działający proof-of-concept, który według badaczy działa w sposób powtarzalny na wybranych współczesnych platformach serwerowych i enterprise.

  • Typ podatności: lokalna eskalacja uprawnień
  • Identyfikator: CVE-2026-31431
  • Komponent: algif_aead / AF_ALG
  • Skutek: uzyskanie uprawnień root
  • Status: aktywnie wykorzystywana

Kontekst / historia

Podatność została publicznie ujawniona pod koniec kwietnia 2026 roku przez badaczy bezpieczeństwa. Z opublikowanej osi czasu wynika, że zgłoszenie do opiekunów bezpieczeństwa jądra nastąpiło w marcu 2026 roku, a poprawka trafiła do głównej gałęzi na początku kwietnia. Niedługo później opublikowano szczegóły techniczne oraz demonstrację działania exploita.

Sytuację dodatkowo zaostrzyło szybkie potwierdzenie aktywnego wykorzystywania luki. To istotna zmiana z perspektywy zespołów bezpieczeństwa, ponieważ problem przestał być wyłącznie podatnością badawczą i stał się realnym zagrożeniem operacyjnym. W praktyce oznacza to konieczność nadania CVE-2026-31431 wysokiego priorytetu w procesie zarządzania poprawkami.

Analiza techniczna

Problem dotyczy logiki obsługi algif_aead w jądrze Linuksa. U podstaw luki leży błędne przetwarzanie operacji wykonywanych w ścieżce kryptograficznej, które można łączyć z wykorzystaniem AF_ALG oraz splice(). W rezultacie atakujący może doprowadzić do kontrolowanego zapisu niewielkiej porcji danych do page cache pliku, który jest dla niego dostępny do odczytu.

Choć taki zapis może wydawać się ograniczony, w praktyce okazuje się wystarczający do przeprowadzenia pełnej eskalacji uprawnień. Mechanizm ataku opiera się na modyfikacji zawartości pamięci podręcznej stron dla wybranego pliku w taki sposób, aby ostatecznie uruchomić proces z uprawnieniami root. Istotne jest również to, że według dostępnych analiz exploit nie wymaga warunku wyścigu ani precyzyjnego dopasowywania do konkretnej wersji kernela, co zwiększa jego niezawodność i przenośność.

Zakres narażenia jest szeroki, ponieważ interfejs AF_ALG pozostaje domyślnie dostępny w wielu głównych dystrybucjach Linuksa. Poprawka w jądrze usuwa problematyczne zachowanie i przywraca bezpieczniejszą obsługę poza trybem in-place, ograniczając możliwość nadużycia wadliwej ścieżki operacji.

Konsekwencje / ryzyko

Największe ryzyko dotyczy środowisk, w których możliwe jest uruchamianie lokalnego kodu użytkownika lub klienta na współdzielonym jądrze. Obejmuje to hosty wieloużytkownikowe, serwery bastionowe, środowiska deweloperskie, runnery CI/CD, farmy buildowe oraz platformy kontenerowe.

W takich scenariuszach zwykły użytkownik, proces działający w kontenerze albo nieufny kod uruchomiony w pipeline może doprowadzić do przejęcia całego hosta. W środowiskach multi-tenant oraz klastrach Kubernetes ryzyko jest szczególnie istotne, ponieważ page cache współdzielony jest na poziomie systemu hosta. To może ułatwić wyjście poza granice pojedynczego workloadu, a następnie dalszy ruch boczny w infrastrukturze.

Na klasycznych serwerach produkcyjnych podatność nie daje zdalnego dostępu sama z siebie, ale znacząco zwiększa skuteczność działań post-exploitation. Jeśli napastnik wcześniej uzyska lokalne wykonanie kodu lub dostęp do konta, luka może stać się prostą drogą do pełnego przejęcia systemu.

Rekomendacje

Najważniejszym działaniem pozostaje jak najszybsze wdrożenie aktualizacji jądra dostarczonej przez producenta dystrybucji oraz wykonanie restartu systemu. Samo zainstalowanie pakietów bez ponownego uruchomienia nie powoduje załadowania poprawionego kernela.

Do czasu pełnego załatania warto zastosować środki ograniczające ekspozycję. Tam, gdzie to możliwe, należy rozważyć wyłączenie modułu algif_aead, jeśli nie jest wymagany przez używane aplikacje lub obciążenia. W środowiskach uruchamiających nieufny kod zasadne może być także blokowanie tworzenia gniazd AF_ALG przy użyciu seccomp oraz zaostrzenie polityk bezpieczeństwa kontenerów.

  • zinwentaryzować hosty korzystające z podatnych wersji jądra,
  • nadać priorytet systemom wielodostępnym i platformom wykonującym kod użytkownika,
  • sprawdzić aktualność hostów bazowych i obrazów kontenerowych,
  • monitorować nietypowe użycie AF_ALG i splice(),
  • ograniczyć lokalne konta i dostęp shellowy tam, gdzie nie są niezbędne.

Dla zespołów SOC i IR ważne jest również uwzględnienie tej podatności w scenariuszach detekcyjnych. Publicznie dostępny i stosunkowo prosty exploit obniża próg wejścia dla napastników, dlatego można oczekiwać szybkiego pojawienia się kolejnych wariantów ataku.

Podsumowanie

Copy Fail to jedna z najpoważniejszych lokalnych podatności w Linuksie ujawnionych w 2026 roku. Łączy szeroki zasięg, wysoką przewidywalność eksploatacji oraz potwierdzone wykorzystanie w atakach, co czyni ją szczególnie groźną dla środowisk współdzielonych, kontenerowych i deweloperskich.

Dla organizacji kluczowe są trzy elementy: szybkie wdrożenie poprawek jądra, ograniczenie ekspozycji mechanizmów związanych z AF_ALG oraz podniesienie priorytetu monitorowania lokalnej eskalacji uprawnień. Zwłoka w aktualizacji może w tym przypadku bardzo szybko przełożyć się na pełne przejęcie hosta.

Źródła

  1. BleepingComputer — https://www.bleepingcomputer.com/news/security/cisa-says-copy-fail-flaw-now-exploited-to-root-linux-systems/
  2. Copy Fail / Theori — https://copy.fail/
  3. NVD CVE-2026-31431 — https://nvd.nist.gov/vuln/detail/CVE-2026-31431
  4. Microsoft Security Blog — https://www.microsoft.com/en-us/security/blog/2026/05/01/cve-2026-31431-copy-fail-vulnerability-enables-linux-root-privilege-escalation/
  5. CERT-EU Security Advisory 2026-005 — https://cert.europa.eu/publications/security-advisories/2026-005/