Бесшумный Root Exploit для Linux уже здесь

Бесшумная, разрушительная уязвимость годами скрывалась в сердце систем Linux, оставаясь незамеченной до сих пор. Названная "Copy Fail" и отслеживаемая как CVE-2026-31431, эта критическая уязвимость локального повышения привилегий предоставляет прямой путь к root-доступу, угрожая целостности бесчисленных серверов по всему миру. Ее коварная природа проистекает из тонкой оптимизации ядра, что делает ее практически невозможной для отслеживания после атаки.

Масштаб "Copy Fail" поражает. Практически каждый дистрибутив Linux, находящийся в обращении с 2017 года, уязвим, что делает эту уязвимость одной из самых распространенных за последнее время. Исследователи из xint.io обнаружили этот 100% надежный одноразовый эксплойт, продемонстрировав его способность предоставлять мгновенный, неаутентифицированный root-доступ одной командой.

Эксплойт использует оптимизацию обработки на месте (in-place processing) в криптографической подсистеме ядра, конкретно нацеливаясь на модуль аутентифицированного шифрования с ассоциированными данными (AEAD). Манипулируя AF_ALG socket interface и системным вызовом splice(), злоумышленник может обмануть ядро, заставив его использовать page cache в качестве записываемого временного хранилища. Это позволяет напрямую изменять чувствительные области памяти, обычно защищенные от непривилегированных пользователей.

Что крайне важно, "Copy Fail" действует с исключительной скрытностью. Он перезаписывает четыре конкретных байта set UID binary непосредственно в RAM системы, а именно в page cache, чтобы полностью обойти проверки пароля. Поскольку это изменение никогда не затрагивает фактический файл на диске, базовый бинарный файл остается чистым, не оставляя никаких криминалистических следов компрометации на хранилище.

Эта беспрецедентная скрытность и надежность делают "Copy Fail" катастрофической угрозой для multi-tenant environments. От провайдеров общего хостинга до обширной облачной инфраструктуры, эксплойт предоставляет идеальный механизм для выхода из контейнеров или компрометации целых cloud nodes. Системные администраторы должны немедленно приоритизировать обновление своих ядер для снижения риска, создаваемого этой повсеместной уязвимостью.

Казалось бы, безобидный патч ядра внес критическую уязвимость в каждый дистрибутив Linux с 2017 года. Разработчики добавили это изменение в файл `authencesn.c`, основной компонент криптографической подсистемы ядра, отвечающий за обработку Authenticated Encryption with Associated Data, или AEAD. Это обновление 2017 года было направлено на оптимизацию криптографических операций.

Первоначальной целью патча было повышение эффективности. Он включил in-place processing, позволяя ядру шифровать и дешифровать данные непосредственно в исходном буфере. Эта умная техника значительно сократила накладные расходы на память, что является общей целью в разработке ядра. Разработчики полагали, что эта оптимизация повысит производительность без введения новых рисков.

Вместо этого, эта, казалось бы, безобидная оптимизация непреднамеренно создала фундаментальную лазейку в безопасности. Ослабив строгие правила обработки памяти, патч позволил высокопривилегированному криптографическому движку ядра манипулировать памятью способами, которыми он никогда не должен был. Это открыло путь для злоумышленников к обходу установленных парадигм безопасности.

Исследователи из xint.io позже использовали это упущение как оружие. Они продемонстрировали, как интерфейс сокета `AF_ALG` в сочетании с системным вызовом `splice()` может обмануть ядро, заставив его использовать страницу page cache в качестве записываемой временной области. Обычно page cache остается неприкосновенным и строго доступным только для чтения для непривилегированных пользователей, храня данные файлов для предотвращения повторного доступа к диску.

Однако полные привилегии ядра в сочетании с этим дефектом, позволяющим выполнять операции на месте, обеспечили прямую запись в эти страницы, доступные только для чтения. Злоумышленники используют это для перезаписи четырех определенных байтов бинарного файла `setuid`, пока он находится в оперативной памяти. Переключение этих критических битов полностью обходит логику проверки пароля, предоставляя мгновенный root-доступ.

Ирония определяет этот критический недостаток: улучшение производительности, разработанное для экономии памяти, стало одним из самых разрушительных эксплойтов для локального повышения привилегий за последнее время. Отслеживаемый как CVE-2026-31431 и названный "Copy Fail", он обеспечивает 100% надежный, однократный root-доступ. Это изменение происходит только в page cache, оставляя базовый файл на диске нетронутым и делая атаку невероятно скрытной.

Исследователи из xint.io обнаружили скрытую уязвимость "Copy Fail", превратив тонкую оптимизацию ядра в 100% надежный root-эксплойт. Их новаторская работа показала, как патч 2017 года, предназначенный для повышения эффективности, вместо этого создал критический вектор для локального повышения привилегий. Этот эксплойт, отслеживаемый как CVE-2026-31431, компрометирует каждый крупный дистрибутив Linux, выпущенный с того года.

Злоумышленники инициируют эксплойт, используя интерфейс сокета AF_ALG. Этот механизм позволяет приложениям пользовательского пространства напрямую получать доступ к криптографическому движку ядра, запрашивая такие операции, как аутентифицированное шифрование с ассоциированными данными (AEAD). Он обеспечивает контролируемый канал в криптографическую подсистему ядра, где находится исходный недостаток.

Критически важным для использования этого недостатка является системный вызов `splice()`. `splice()` управляет потоком данных между двумя файловыми дескрипторами, обычно каналом (pipe) и сокетом, без копирования данных в пользовательское пространство. Этот механизм нулевого копирования обычно повышает производительность, но здесь он позволяет злоумышленнику контролировать операции с памятью ядра с исключительной точностью. Исследователи обнаружили, что `splice()` может заставить криптографический движок ядра работать непосредственно с page cache.

Соединение `AF_ALG` со `splice()` позволяет выполнить сложную уловку. Злоумышленник создает канал (pipe), затем использует `splice()` для перемещения данных из канала в сокет `AF_ALG`. Эта последовательность заставляет криптографический движок ядра, работающий с полными привилегиями, использовать page cache в качестве своей внутренней временной области для обработки на месте. Page cache, обычно доступный только для чтения для непривилегированных пользователей, становится записываемым через этот запутанный путь. Это позволяет привилегированным криптографическим операциям ядра записывать данные непосредственно в защищенные области памяти.

Эта возможность прямой записи позволяет злоумышленнику перезаписать четыре определенных байта бинарного файла `setuid`, пока он находится в оперативной памяти. Переключая эти биты, они обходят проверки пароля и мгновенно получают root-доступ. Изменение происходит только в page cache, никогда не затрагивая диск, что делает атаку невероятно скрытной и трудной для обнаружения. Для более глубокого технического анализа, включая подробности о 732 байтах, необходимых для эксплойта, обратитесь к записи в блоге xint.io: Copy Fail: 732 Bytes to Root on Every Major Linux Distribution. - Xint.

Безопасность системы в значительной степени зависит от кэша страниц (page cache), фундаментального компонента ядра. Эта общая область памяти эффективно хранит файловые данные, позволяя операционной системе извлекать информацию без многократного обращения к более медленному дисковому хранилищу. Важно отметить, что эти страницы кэша страниц обычно доступны только для чтения непривилегированным процессам, что обеспечивает целостность файлов на диске от несанкционированного изменения.

Исследователи из xint.io обнаружили глубокий метод подрыва этого защитного механизма. Используя интерфейс сокета `AF_ALG` в сочетании с системным вызовом `splice()`, они могут обмануть `Linux kernel`. В частности, они принуждают привилегированный криптографический движок ядра рассматривать страницу кэша страниц не как неизменяемые файловые данные, а как свою собственную внутреннюю, записываемую рабочую область для криптографических операций.

Это представляет собой суть уязвимости in-place. Патч 2017 года для `authencesn.c` ввел оптимизацию, позволяющую ядру выполнять криптографические операции непосредственно в исходном буфере. Хотя это было предназначено для уменьшения накладных расходов на память, это изменение непреднамеренно позволило высокопривилегированному компоненту ядра записывать данные непосредственно в области памяти, которые должны оставаться строго доступными только для чтения для данных файловой системы. Основное обещание безопасности операционной системы — строгое разделение и защита областей памяти — рушится под этим неожиданным доступом для записи, создавая скрытый, разрушительный бэкдор.

Злоумышленник получает беспрецедентную мощь, используя эту уязвимость. Он может внедрять произвольные данные непосредственно в сегменты памяти, связанные с критически важными системными файлами, обходя традиционные разрешения файлов и проверки целостности. Например, xint.io продемонстрировал перезапись четырех конкретных байтов `set-UID` бинарного файла, пока он находится в оперативной памяти. Изменение этих критических битов позволяет злоумышленнику полностью обойти логику аутентификации по паролю, фактически предоставляя `root`-доступ одной командой.

Это изменение происходит исключительно в кэше страниц, никогда не изменяя базовый файл на диске. Такая атака остается невероятно скрытной, не оставляя никаких криминалистических следов на постоянном хранилище и делая обнаружение чрезвычайно трудным для традиционных средств безопасности. Это делает Copy Fail идеальным эксплойтом для выхода из контейнерных сред или достижения скрытого, полного компрометации многопользовательских облачных узлов, бесшумно повышая привилегии до `root` одним разрушительным выстрелом. Собственные доверенные процессы ядра становятся инструментом его уничтожения.

Уязвимость "Copy Fail" завершается разрушительно надежным, одношаговым эксплойтом, представляющим собой вершину повышения привилегий. Как только непривилегированный злоумышленник успешно инициирует базовую уязвимость, он получает мгновенный, полный контроль над скомпрометированной системой `Linux`. Эта замечательная простота и гарантированный успех, требующие всего лишь одного тщательно разработанного системного вызова для инициирования повреждения ядра, делают CVE-2026-31431 исключительно мощной и опасной угрозой в экосистеме `Linux`, затрагивающей практически каждый дистрибутив с 2017 года.

Злоумышленники специально нацеливаются на setuid binary — критически важный тип исполняемой программы, настроенной на запуск с разрешениями своего владельца (почти повсеместно это пользователь `root`), независимо от привилегий пользователя, запускающего ее. Ярким и широко доступным примером является `/usr/bin/passwd`. Эта утилита позволяет пользователям менять свои пароли, но должна работать с привилегиями `root` для изменения конфиденциальных файлов системной аутентификации, таких как `/etc/shadow`. Другие `setuid` бинарные файлы, столь же уязвимые, могут предлагать аналогичные пути для эксплуатации.

Используя свой новообретенный, незаконный доступ на запись к священному кешу страниц ядра (kernel's sacred page cache) — области памяти, обычно строго доступной только для чтения непривилегированным пользователям — злоумышленники не изменяют бинарный файл на диске. Вместо этого они точно перезаписывают всего четыре конкретных байта выбранного setuid бинарного файла *пока он находится в ОЗУ (RAM)*. Эта высокоцелевая модификация происходит исключительно в кеше памяти, оставляя файл на диске нетронутым и первозданным. Этот критически важный аспект гарантирует, что атака остается невероятно скрытной и устойчивой к традиционным проверкам целостности файлов.

Этот хирургический удар по бинарному файлу, находящемуся в памяти, оказывается удивительно эффективным и чрезвычайно сложным для обнаружения. Переключение этих критических битов принципиально обходит основную логику проверки пароля целевой программы. Когда любой пользователь впоследствии запускает теперь уже измененный `/usr/bin/passwd` (или аналогичный setuid бинарный файл), программа больше не проверяет учетные данные. Вместо этого она напрямую выполняет произвольный код, контролируемый злоумышленником, обычно запуская полноценную root shell. Это изменение только в памяти способствует очень скрытному повышению привилегий, предоставляя идеальный механизм для выхода из контейнерных сред или компрометации целых многопользовательских облачных узлов без оставления постоянных следов в файловой системе. Элегантность эксплойта заключается в его минимальном следе и немедленном, неоспоримом результате.

Самый тревожный атрибут Copy Fail — это его беспрецедентная скрытность. В отличие от обычных эксплойтов, которые оставляют заметные следы на диске, эта уязвимость действует как призрак в машине, выполняя свою вредоносную нагрузку без изменения постоянной файловой системы. Этот механизм принципиально переопределяет парадигмы обнаружения эксплойтов.

Исследователи из xint.io обнаружили, что атака изменяет целевые бинарные файлы исключительно в кеше страниц ядра (kernel's page cache) — общей области памяти в ОЗУ (RAM). Это критическое различие означает, что фактический файл на диске остается нетронутым и первозданным даже после успешной компрометации с правами root. Что особенно важно, его криптографический хеш также остается идентичным, что делает обнаружение традиционными средствами практически невозможным.

Судебный анализ сталкивается с беспрецедентными трудностями. Поскольку образ диска не показывает изменений, следователям не хватает важнейших доказательств компрометации. Инструменты мониторинга безопасности, в частности Мониторы целостности файлов (File Integrity Monitors, FIMs), здесь принципиально терпят неудачу; они полагаются на проверку хешей файлов на диске, которые никогда не меняются. Это создает опасную слепую зону даже для самых бдительных команд безопасности.

Эта присущая необнаруживаемость превращает Copy Fail в идеальное оружие для постоянных угроз (persistent threats). Злоумышленники могут поддерживать root-доступ к скомпрометированным системам неограниченное время, не оставляя постоянных следов на диске, которые могли бы обнаружить специалисты по реагированию на инциденты. Скрытность также делает атрибуцию и отслеживание невероятно сложными, позволяя осуществлять сложные, долгосрочные компрометации, обходящие установленные средства защиты.

Понимание сложных деталей этой скрытой атаки крайне важно для защитников, спешащих смягчить ее последствия. Для получения более подробной технической информации об этой широко распространенной угрозе, включая стратегии смягчения последствий и затронутые дистрибутивы, см. New Linux 'Copy Fail' Vulnerability Enables Root Access on Major Distributions. Эта уязвимость требует немедленного внимания от всех, кто использует системы Linux.

Copy Fail (CVE-2026-31431) значительно усиливает свое воздействие в современных многопользовательских облачных архитектурах. Эти повсеместные среды, разработанные для совместного использования ресурсов и изоляции, теперь сталкиваются с тихой, системной угрозой. Злоумышленник, использующий Copy Fail, может получить root-привилегии на хосте Linux, не оставляя следов на диске, что делает его идеальным для скрытых операций в рамках общей инфраструктуры.

Критически важно, что эта уязвимость представляет собой прямой путь к выходу из контейнера (container escape). Злоумышленник, скомпрометировавший один контейнер – возможно, через уязвимость веб-приложения или неправильную конфигурацию – может использовать Copy Fail для повышения привилегий. Это позволяет им выйти за пределы изоляции контейнера и получить root-доступ к базовому узлу хоста, фактически завладев всем физическим сервером.

Облачные провайдеры теперь сталкиваются с катастрофическим системным риском. Если контейнер или виртуальная машина всего одного клиента уязвимы и эксплуатируются, злоумышленник может скомпрометировать весь физический сервер, на котором размещены многочисленные другие клиенты. Этот потенциал горизонтального перемещения по инфраструктуре провайдера представляет собой беспрецедентный кошмар безопасности, подрывая фундаментальные принципы изоляции и доверия в облачных вычислениях. Присущая облачным ресурсам общая природа превращает локальный эксплойт в широкомасштабную угрозу.

Рассмотрим широко распространенные среды, находящиеся под угрозой: - Кластеры Kubernetes: Скомпрометированный под может выйти из изоляции, чтобы получить root-доступ на рабочем узле, а затем потенциально распространиться по всему кластеру. - Общий веб-хостинг: Злоумышленник на одном аккаунте общего хостинга может получить root-доступ на сервере, что затронет все другие размещенные там сайты. - Виртуальные частные серверы (VPS): Хотя они предлагают большую изоляцию, чем общий хостинг, эксплойт Copy Fail все равно предоставит злоумышленнику root-доступ к базовому гипервизору, потенциально затрагивая другие экземпляры VPS.

Скрытый характер этого одноразового эксплойта усиливает опасность. Облачные провайдеры могут никогда не обнаружить первоначальное нарушение или последующее повышение привилегий, так как диск остается нетронутым. Это делает традиционный судебный анализ чрезвычайно сложным, позволяя злоумышленникам оставаться незамеченными в течение длительных периодов внутри критической инфраструктуры. Полный откат оптимизации 2017 года подчеркивает серьезность и глубину необходимого исправления для всех затронутых дистрибутивов Linux, требуя немедленных действий для обеспечения безопасности самых основ облака. Патчинг этих многопользовательских ядер не просто рекомендуется; это настоятельная необходимость.

Исправление не было тонким. Разработчики ядра Linux реализовали радикальное решение для устранения уязвимости "Copy Fail" (CVE-2026-31431). Вместо целенаправленного патча они выполнили полный откат всей оптимизации 2017 года, которая внесла эту ошибку. Это монументальное решение отменило годы устоявшегося поведения ядра в файле `authencesn.c` криптографической подсистемы.

Простой патч оказался недостаточным, потому что уязвимость проистекала из фундаментального дизайнерского решения, а не из изолированной ошибки кодирования. Изменение 2017 года допускало "обработку на месте (in-place processing)", позволяя криптографическому движку ядра шифровать и дешифровать данные непосредственно в исходном буфере. Это была элегантная оптимизация, разработанная для экономии накладных расходов памяти и повышения эффективности, но она непреднамеренно создала идеальные условия для эксплойта `xint.io`.

Отмена этой оптимизации означала пожертвование небольшим приростом производительности ради критической безопасности. В течение семи лет этот механизм обработки на месте был неотъемлемой частью того, как ядро обрабатывало аутентифицированное шифрование. Выбор был очевиден: сохранить небольшое преимущество в эффективности, но оставить системы открытыми для бесшумного, надежного компрометации root-доступа, или полностью удалить эту функцию для защиты миллионов установок.

Это решительное действие подчеркивает глубокую серьезность "Copy Fail". Отмена основной функции ядра, которая функционировала почти десять лет, является исключительно редким шагом в разработке ядра. Такой шаг подчеркивает, что риски, связанные с уязвимостью in-place processing, значительно перевешивали любые предполагаемые преимущества, требуя абсолютного приоритета для целостности системы над незначительными архитектурными оптимизациями.

Удалив проблемную оптимизацию, разработчики устранили вектор, который позволял ядру рассматривать священный page cache как записываемую временную область. Это предотвращает использование злоумышленниками интерфейса сокета `AF_ALG` и системного вызова `splice()` для обмана ядра с целью повреждения памяти и обхода проверок безопасности, эффективно закрывая бесшумный, однократный путь к полному контролю.

Администраторы и пользователи должны немедленно уделить первостепенное внимание установке патчей для систем, уязвимых к Copy Fail, CVE-2026-31431. Эта критическая уязвимость локального повышения привилегий, возникшая из-за ошибки ядра 2017 года, требует быстрого реагирования для предотвращения бесшумной компрометации root-доступа. Игнорирование этой уязвимости оставляет системы открытыми для полного захвата через один системный вызов, особенно те, которые обслуживают общедоступные сервисы или критическую инфраструктуру.

Сначала определите текущую версию вашего Linux kernel. Выполните `uname -r` в вашем терминале; эта команда выводит строку версии ядра. Сравните эту строку с рекомендациями по уязвимостям вашего дистрибутива, чтобы подтвердить, предшествует ли ваша версия ядра исправлению, которое конкретно устранило уязвимость `authencesn.c`.

Применение необходимых обновлений ядра несложно для основных дистрибутивов: - Для систем на базе Debian и Ubuntu выполните `sudo apt update && sudo apt upgrade`. - В системах Red Hat Enterprise Linux (RHEL) и CentOS используйте `sudo yum update` или `sudo dnf update`. Обычно после обновления ядра требуется перезагрузка системы для активации нового, безопасного ядра и полного устранения уязвимости.

Скрытность и надежность Copy Fail делают ее исключительно опасной угрозой, способной не оставлять следов на диске. Общедоступные серверы и многопользовательские облачные среды, где эта уязвимость представляет острую опасность, требуют немедленного внимания. Включите automated security updates везде, где это возможно, чтобы поддерживать непрерывную защиту от будущих уязвимостей и гарантировать, что ваши системы работают с последним безопасным ядром. Для более глубокого изучения специфики этой уязвимости, включая детали устранения и дополнительный контекст, обратитесь к таким ресурсам, как What we know about Copy Fail (CVE-2026-31431) - Bugcrowd. Проактивное применение патчей сейчас предотвращает будущие компрометации и поддерживает целостность системы.

"Copy Fail", отслеживаемая как CVE-2026-31431, преподносит отрезвляющий урок всему сообществу разработки программного обеспечения и кибербезопасности. Казалось бы, незначительная оптимизация в криптографической подсистеме Linux kernel, введенная в 2017 году, создавала бесшумный путь к root-доступу в течение семи лет. Этот инцидент глубоко иллюстрирует скрытые опасности, таящиеся в базовом коде, и огромную ответственность, которую несут разработчики при изменении критически важных системных компонентов, даже с самыми лучшими намерениями.

Оптимизации производительности, будучи жизненно важными для эффективности системы, часто сопряжены с невидимыми компромиссами в области безопасности. Патч 2017 года для `authencesn.c` был направлен на снижение накладных расходов памяти за счет обработки на месте. Однако это тонкое изменение непреднамеренно позволило привилегированному процессу ядра записывать данные непосредственно в обычно доступный только для чтения кэш страниц (page cache), критическую область памяти. Это демонстрирует, как стремление к скорости может привести к разрушительным уязвимостям, которые остаются незамеченными в течение длительного времени.

Независимые исследования в области безопасности оказались незаменимыми для выявления этого глубоко скрытого недостатка. Исследователи из xint.io тщательно идентифицировали механизм «Copy Fail», продемонстрировав, как использовать интерфейс сокета `AF_ALG` и системный вызов `splice()`. Их тщательный анализ выявил 100% надежный, одноразовый эксплойт, предотвратив потенциальное широкомасштабное использование вредоносными субъектами. Это открытие подчеркивает критическую ценность внешних аудитов для основной инфраструктуры, особенно когда ошибки настолько глубоко укоренились.

Отрасль должна извлечь уроки из «Copy Fail» и немедленно внедрить системные изменения для усиления защиты. Бдительность имеет первостепенное значение, требуя постоянных проактивных аудитов безопасности критически важных кодовых баз, особенно тех, которые лежат в основе операционных систем и облачных сред. Кроме того, организации должны принять культуру ответственного раскрытия информации, обеспечивая быстрое сообщение и устранение уязвимостей. Наконец, поддержание быстрого темпа выпуска патчей является обязательным условием, выступая в качестве основной защиты от будущих угроз нулевого дня. Этот инцидент служит суровым напоминанием о том, что даже самые надежные системы требуют неустанного контроля и проактивной защиты от коварных недостатков.

Что такое уязвимость Copy Fail?

Copy Fail (CVE-2026-31431) — это критическая уязвимость повышения привилегий в ядре Linux. Она позволяет непривилегированному локальному пользователю получить полный root-доступ, используя оптимизацию экономии памяти, введенную в 2017 году.

Какие системы Linux затронуты Copy Fail?

Почти каждый дистрибутив Linux, выпущенный или обновленный с 2017 года, потенциально уязвим, поскольку недостаток существует в ядре. Это включает серверы, настольные компьютеры и хосты контейнеров.

Как работает эксплойт Copy Fail?

Он обманывает криптоподсистему ядра, заставляя ее записывать данные в обычно доступную только для чтения область памяти, называемую кэшем страниц (page cache). Это позволяет злоумышленнику изменять привилегированную программу, загруженную в RAM, чтобы обойти защиту и получить root-привилегии.

Как защитить мою систему от Copy Fail?

Единственное эффективное решение — обновить ядро Linux вашей системы до пропатченной версии. Обратитесь к поставщику вашего дистрибутива за последними обновлениями безопасности и примените их немедленно.