Критическая уязвимость CopyFail даёт root-доступ почти ко всем версиям Linux

Исследователи из компании Theori опубликовали рабочий эксплойт для критической уязвимости в ядре Linux, получившей идентификатор CVE-2026-31431 и неофициальное название CopyFail. Один Python-скрипт без каких-либо изменений позволяет любому непривилегированному пользователю получить права root практически на любом современном Linux-дистрибутиве. Это один из наиболее серьёзных инцидентов в экосистеме Linux за последние годы.

Уязвимость относится к классу local privilege escalation (LPE) — локального повышения привилегий. Это означает, что атакующий, уже имеющий возможность запускать код на машине даже с минимальными правами, может мгновенно стать суперпользователем. Дальше — полный контроль: чтение любых файлов, установка бэкдоров, слежка за процессами, перемещение по смежным системам.

Почему CopyFail особенно опасен

Главная проблема — универсальность эксплойта. Исследователь Jorijn Schrijvershof подтвердил, что один и тот же скрипт стабильно работает на Ubuntu 22.04, Amazon Linux 2023, SUSE 15.6 и Debian 12. Злоумышленнику не нужно адаптировать код под конкретную систему — это резко снижает порог входа для атак.

Среди сценариев эксплуатации — взлом мультитенантных систем, выход за пределы контейнеров на базе Kubernetes и других оркестраторов, а также внедрение вредоносного кода через CI/CD-пайплайны с помощью подставных pull-запросов. Последнее особенно актуально для DevOps-команд, где автоматизация сборки и деплоя стала стандартом.

Патч для ядра Linux был выпущен заблаговременно: исправление вошло в версии 7.0, 6.19.12, 6.18.12, 6.12.85, 6.6.137, 6.1.170, 5.15.204 и 5.10.254. Theori раскрыла уязвимость команде безопасности ядра Linux за пять недель до публикации — стандартная практика ответственного раскрытия. Проблема в том, что к моменту выхода эксплойта большинство дистрибутивов не успели включить патч в свои обновления.

Что делать прямо сейчас

Администраторам Linux-систем необходимо в первую очередь проверить версию ядра командой `uname -r` и сравнить её с исправленными версиями. Если система работает на более старом ядре — обновление становится приоритетом номер один. Большинство крупных дистрибутивов уже готовят или выпустили backport-патчи, поэтому стандартный `apt upgrade` или `dnf update` в ближайшие дни должен закрыть брешь.

До установки патча имеет смысл ограничить возможность запуска произвольного кода непривилегированными пользователями — в частности, проверить настройки seccomp, AppArmor или SELinux. Для облачных сред критично убедиться, что изоляция между тенантами не опирается исключительно на механизмы ядра без дополнительных слоёв защиты.

Для белорусских IT-компаний, работающих в ПВТ и использующих Linux-инфраструктуру — а это подавляющее большинство продуктовых и аутсорсинговых команд — ситуация требует немедленной реакции. Особого внимания заслуживают CI/CD-среды: если в пайплайне сборки участвуют внешние контрибьюторы или open-source-зависимости, вектор атаки через pull-запросы становится вполне реальным.

Отдельного внимания заслуживают команды, развёртывающие сервисы в Kubernetes-кластерах. Выход за пределы контейнера с последующим получением root на хост-машине — сценарий, который CopyFail делает тривиальным. Проверка версий ядра на узлах кластера и оперативное обновление должны войти в чек-лист дежурного инженера уже сегодня.

История с CopyFail в очередной раз обнажает системную проблему: патч в upstream-ядре и патч, доступный конечному пользователю через менеджер пакетов, — это две разные вещи, между которыми может пройти несколько недель. Именно в этом окне и существует наибольший риск. Пока дистрибутивы не закроют разрыв, единственная надёжная защита — мониторинг активности непривилегированных пользователей и минимизация поверхности атаки.

— По материалам Ars Technica: оригинальная статья. Перевод и адаптация — редакция Digital Business.