Критическая уязвимость Linux угрожает миллионам систем: как обеспечить защиту

Критическая уязвимость ядра Linux под идентификатором CVE-2026-31431, известная как Copy Fail, существовала незамеченной с 2017 года, но теперь привлекает должное внимание специалистов по кибербезопасности. В ряде случаев значимость уязвимостей Linux может быть преувеличена, однако в данном случае ситуация иная. Copy Fail представляет серьёзную угрозу, которую необходимо срочно устранить.

• Copy Fail представляет собой серьёзную уязвимость в операционной системе Linux.
• Недостаток позволяет злоумышленникам с лёгкостью получать полный доступ к системе.
• Уязвимость Copy Fail затрагивает миллионы Linux-систем.

Что такое Copy Fail?

Рассмотрим суть Copy Fail в доступных для понимания терминах.

Можно представить оперативную память компьютера как школьную доску, где учитель записывает оценки. Если запретить ученикам использовать мел или ластик, они не смогут менять свои оценки. Уязвимость Copy Fail действует подобно хитрому ученику, который каким-то образом получает доступ к ластику и мелу и незаметно для учителя меняет только свою оценку.

По сути, Copy Fail – это недостаток в подсистеме Linux, отвечающей за безопасность определённых типов данных. Уязвимость позволяет злоумышленнику, имеющему базовый доступ к системе, изменить критически важный фрагмент данных, хранящийся в оперативной памяти (ОЗУ) компьютера. После внесения изменений подделанные данные могут обмануть систему, заставив её считать атакующего привилегированным пользователем (root), что предоставляет ему полный контроль над системой.

Для наглядности: представьте, что уборщик берёт табличку с именем начальника из его кабинета и вешает её рядом со своим чуланом, чтобы все считали его главным. Примерно так работает Copy Fail.

Одно из отличий Copy Fail от других уязвимостей, обнаруженных в Linux, заключается в том, что она не требует определённых временных условий или точной последовательности событий. Эксплуатация этой уязвимости значительно проще, а её последствия могут быть разрушительными.

Технические детали Copy Fail

Для тех, кому интересны более глубокие технические аспекты Copy Fail, стоит отметить, что уязвимость использует интерфейс сокета AF_ALG и системный вызов splice() для перезаписи всего четырёх байтов в страничном кеше ядра для любого доступного для чтения файла. После успешной перезаписи злоумышленники могут изменять исполняемые файлы с установленным битом setuid (такие как команда su), находящиеся в памяти, для получения root-доступа.

Отличительной особенностью Copy Fail является её стабильность: в отличие от уязвимостей типа “race condition” (состояние гонки), она не требует многократных попыток, зависящих от временных факторов, для повышения привилегий.

Уязвимость Copy Fail затрагивает все ядра Linux версий от 4.14 до 6.19.12. Это означает, что под угрозой находятся ядра, выпущенные с 2017 года по настоящее время.

По данным исследовательской группы Xint Code, данное открытие было сделано при содействии искусственного интеллекта. Изначально исследование началось с наблюдения Тэяна Ли (Taeyang Lee), специалиста из Theori, который изучал взаимодействие криптографической подсистемы Linux с данными, поддерживаемыми страничным кешем. Он использовал Xint Code для масштабирования своего исследования по всей криптографической подсистеме, и Copy Fail оказалась наиболее критичным результатом в отчёте.

Как защититься от Copy Fail

Самый простой способ устранить уязвимость Copy Fail в Linux – это обновить ядро операционной системы до последней доступной версии.

Чтобы проверить, было ли ваше ядро пропатчено от Copy Fail, выполните следующую команду в терминале:

dpkg -l kmod grep -qE '^algif_aead ' /proc/modules && echo "Affected module is loaded" || echo "Affected module is NOT loaded"

Если ваше ядро успешно пропатчено, вы увидите сообщение “Affected module is NOT loaded” (Затронутый модуль НЕ загружен). В противном случае появится “Affected module is loaded” (Затронутый модуль загружен). Если вы столкнулись с последним вариантом, обязательно обновите систему и повторно выполните проверку. Если после обновления система всё ещё не защищена, вы можете отключить модуль algif_aead, используя следующую команду:

install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf

Затем можно выгрузить модуль с помощью команды:

rmmod algif_aead

Эти рекомендации помогут обеспечить защиту вашей системы от уязвимости Copy Fail.