Drošības pētnieki un sistēmu administratori visā pasaulē šobrīd steidzami lāpa kritisko ievainojamību, kas deviņus gadus slēpusies Linux kodola dziļumos. CVE-2026-31431, popularizēta ar nosaukumu CopyFail, ļauj jebkuram nepriviliģētam lietotājam dažu sekunžu laikā iegūt pilnīgu sistēmas kontroli – bez tīkla savienojuma, bez specializētām zināšanām, ar 732 baitu Python skriptu.
Kļūda, kas gaidīja savu brīdi kopš 2017. gada
Ievainojamības saknes meklējamas šķietami nevainīgā optimizācijā, kas Linux kodola kriptogrāfiskajā apakšsistēmā tika ieviesta 2017. gadā. Konkrētā moduļa uzdevums – taupīt atmiņu, atkārtoti izmantojot avota adresi kriptogrāfisko operāciju laikā. Deviņus gadus šis mehānisms darbojās bez ievērojamiem incidentiem. Tagad izrādās, ka tas bijis atvērtas durvis – tikai vajadzēja zināt, kā pa tām ienākt.
Uzbrucējs, izmantojot divus parastos Linux rīkus – kriptogrāfijas saskarni AF_ALG un funkciju splice(), kas pārvieto datus starp atmiņas apgabaliem vai failiem bez nevajadzīgas kopēšanas, var veikt precīzi kontrolētu 4 baitu ierakstu tieši kodola lapas kešatmiņā.
Tas ļauj atmiņā modificēt jebkuru nolasāmu failu – tostarp priviliģētus izpildāmos failus, nepieskaroties ne vienam bitam uz diska. Viss notiek tikai datora atmiņā, tāpēc ne antivīruss, ne citi drošības rīki neredze nekādas izmaiņas – jo tie skatās uz disku, kurš paliek pilnīgi neskaists.
Sprādziena rādiuss ir satriecošs
Ievainojamība skar praktiski katru Linux distribūciju, kas izlaista kopš 2017. gada – Ubuntu 24.04 LTS, Red Hat Enterprise Linux 10.1, Amazon Linux 2023, SUSE 16, Debian, Fedora, Arch Linux. Tā kā konteineri dalās ar resursdatora kodolu, viens neaizsargāts mezgls potenciāli kompromitē visus tajā darbinošos konteinerus – tostarp miljoniem Kubernetes klasteru, kas veido mūsdienu mākoņinfrstruktūras mugurkaulu.
Uzbrukums darbojas uzticami un paredzami – tas izdodas katrā mēģinājumā bez izņēmuma. Tam nav nepieciešamas paaugstinātas tiesības, speciāli sistēmas komponenti vai tīkla savienojums.
Īpaši riskantas ir vides, kur regulāri tiek palaists svešs kods – piemēram, automatizētas izstrādes un testēšanas sistēmas, kā arī serveri, kurus vienlaikus izmanto vairāki neatkarīgi lietotāji. Tieši šajās vidēs uzbrucējam ir visvienkāršāk iekļūt un visgrūtāk pamanīt ļaunprātīgu darbību.
Atklāšana ar piegaršu
Ievainojamību atklāja Theori – uzņēmums, kas izmanto MI vadītu iespiešanās testēšanas platformu Xint. Par atradumu tika ziņots Linux kodola drošības komandai 23. martā, un lielākās distribūcijas izdeva ielāpus pirms publiskās atklāšanas. Taču pati atklāšana guva neviennozīmīgu uzņemšanu drošības pētnieku aprindās.
Theori publiskošanai izmantoja MI ģenerētu saturu – gan vietni, gan bloga ierakstu. Rezultāts: teksts bija labi skandēts, bet kliboja uz tehniskajām detaļām. VulnCheck drošības pētījumu viceprezidente Keitlina Kondona to īsi raksturoja: “Nav noderīgi, ka bloga ieraksts ir MI radīts murgs, jo tas atņem uzticamību tehniskajai realitātei.” Komandas visā pasaulē saskārās ar paradoksālu situāciju – ievainojamība ir reāla un kritiska, taču lai saprastu tās precīzo darbības mehānismu, vajadzīga papildu validācija neatkarīgos avotos.
Kopš ievainojamības publiskošanas parādījušies simtiem ekspluatācijas koncepcijas pierādījumu. Pēc Kondonas teiktā, vairums no tiem ir MI ģenerēti kloni – oriģinālā skripta pārtulkojumi citās programmēšanas valodās ar pārkrāsotiem konsolē izvadītajiem baneļiem. Tie nedara neko jaunu, bet apliecina ko satraucošu: sliekšņa kļūšanai par uzbrucēju praktiski vairs nav.
Rīcības plāns
ASV Kiberdrošības un infrastruktūras drošības aģentūra (CISA) ir iekļāvusi CVE-2026-31431 aktīvi ekspluatēto ievainojamību katalogā un noteikusi, ka ASV federālajām iestādēm ielāps jāpiemēro līdz 15. maijam. Organizācijām, kuras vēl nav rīkojušās, ieteicams nekavējoties identificēt visas neielāpotās Linux sistēmas un piemērot distribūcijas kodola atjauninājumus. Ja ielāps konkrētajai sistēmai vēl nav pieejams, pagaidu risinājums ir bloķēt AF_ALG ligzdas izveidi.
Un viens praktisks padoms – nepalaist nepārbaudītus MI ģenerētus ekspluatācijas skriptus. CopyFail ietvaros to ir vairāk nekā pietiekami.
Avots: TechCrunch































