Агентство кибербезопасности и защиты инфраструктуры США (CISA) предупреждает об активной эксплуатации недавно обнаруженной уязвимости ядра Linux под названием "CopyFail", спустя всего несколько дней после того, как исследователи опубликовали рабочий эксплойт, предоставляющий полные привилегии администратора (root).
Суть уязвимости и её обнаружение
Эта уязвимость, получившая идентификатор CVE-2026-31431, затрагивает ядро Linux и позволяет пользователям с ограниченными правами получить полный контроль над системой. Она дает возможность изменять данные, к которым они должны иметь доступ только для чтения, эффективно преобразуя ограниченные привилегии в полные права администратора (root) на незащищенных системах.
Проблема была раскрыта консультационной компанией Theori в сфере кибербезопасности. В Theori заявили, что уязвимость была обнаружена их платформой для тестирования на проникновение на базе искусственного интеллекта Xint и передана команде безопасности ядра Linux 23 марта. Крупнейшие дистрибутивы Linux успели выпустить патчи до публичного раскрытия информации, которую Theori опубликовала вместе с доказательством концепции эксплойта (PoC).
Код, написанный на Python, успешно функционирует на Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 и SUSE 16. Исследователи предупредили, что любое мейнстримное ядро Linux, выпущенное с 2017 года, находится под угрозой потенциальной эксплуатации. По заявлению Theori, "один и тот же сценарий успешно сработал на четырех дистрибутивах, предоставив полные привилегии администратора. Бинарный эксплойт функционирует без изменений на любом дистрибутиве Linux".
Реакция и предупреждения
Такая высокая надежность эксплойта не осталась без внимания. Агентство CISA добавило данную ошибку в свой каталог известных эксплуатируемых уязвимостей и обязало федеральные гражданские исполнительные органы устранить уязвимость в течение двух недель, установив крайний срок — 15 мая.
Корпорация Microsoft поддержала выводы CISA и сообщила, что уже фиксирует признаки активности после публикации доказательства концепции. "Учитывая доступность полностью рабочего PoC-эксплойта и необходимость срочного исправления систем, Microsoft Defender наблюдает предварительную тестовую активность, которая, скорее всего, приведет к увеличению числа атак со стороны злоумышленников в ближайшие несколько дней", — предупредила компания.
Похожие новости
- Разведслужбы стран "Пяти глаз" предупреждают о рисках быстрого внедрения автономного ИИ
- Появляются первые сообщения о жертвах критической уязвимости cPanel; миллионы сайтов под угрозой
- Патч Microsoft для 0-day уязвимости, эксплуатируемой российскими хакерами, оказался недостаточным; еще одна уязвимость Windows под атакой
- Бывший глава ФБР призывает привлекать некоторых киберпреступников, использующих вымогательское ПО, к ответственности за убийство
Механизм атаки
Механизм атаки объясняет такую срочность. Атака является локальной и требует минимальных прав доступа без какого-либо взаимодействия с пользователем. Это означает, что любой, кто уже имеет доступ к уязвимой системе, может попытаться использовать ее. Подобные ошибки быстро преобразуют незначительное проникновение в полный контроль.
Как сообщало издание The Register на прошлой неделе, уязвимость связана с тем, как ядро обрабатывает определенные криптографические операции. Это открывает путь для несанкционированного изменения кэшированных данных, которые изначально не должны были контролироваться пользователем. Теперь, когда надежный эксплойт стал общедоступным, эта особенность архитектуры фактически превратилась в универсальный метод повышения привилегий.