Небезпечна уразливість безпеки, відома як CopyFail, поставила під загрозу майже всі основні версії операційної системи Linux. Фахівці з кібербезпеки фіксують активне використання цього багу у шкідливих атаках, а захисники систем намагаються якнайшвидше оновити свої системи, щоб уникнути компрометації.
Про це розповідає ProIT
CopyFail: як працює уразливість та кого вона стосується
Уразливість отримала офіційний ідентифікатор CVE-2026-31431 і вражає ядро Linux версій 7.0 і раніше. Вона була виявлена та розкрита команді безпеки ядра Linux наприкінці березня і виправлена приблизно за тиждень. Однак, оновлення ще не дійшли до всіх дистрибутивів, що базуються на вразливому ядрі, тому багато систем і досі перебувають під загрозою злому.
Linux широко використовується у корпоративних інфраструктурах для управління дата-центрами та критично важливими сервісами. За даними спеціалізованого сайту CopyFail, короткий скрипт на Python здатний отримати повний контроль над кожною версією Linux, що випускається з 2017 року. Експерти з компанії Theori підтвердили, що уразливість присутня у таких поширених дистрибутивах, як Red Hat Enterprise Linux 10.1, Ubuntu 24.04 (LTS), Amazon Linux 2023, а також SUSE 16.
Масштаб загрози та потенційні наслідки
DevOps-інженер та розробник Йорейн Схрєйверсхоф у своєму блозі наголосив, що експлойт діє також на Debian і Fedora, а також на Kubernetes, який використовує ядро Linux. За його словами, баг має «надзвичайно широкий радіус ураження», оскільки працює майже на всіх сучасних дистрибутивах Linux.
«Баг називається CopyFail, оскільки уражений компонент ядра Linux — основної частини операційної системи, що має практично повний доступ до пристрою — не копіює певні дані, коли це необхідно. Це призводить до пошкодження конфіденційних даних у самому ядрі, дозволяючи зловмиснику використовувати права ядра для доступу до всієї системи, включно з її даними».
Особливо небезпечною CopyFail робить те, що вона дозволяє звичайному користувачу з обмеженими правами отримати повний адміністративний доступ на ураженій системі. Якщо сервер у дата-центрі буде скомпрометовано, зловмисник зможе отримати доступ до всіх застосунків, серверів і баз даних корпоративних клієнтів, а також потенційно поширити атаку на інші системи у межах тієї ж мережі чи дата-центру.
Хоча CopyFail не може бути використана віддалено через інтернет самостійно, її можна поєднати з іншою вразливістю, яка дозволяє атакувати через мережу. За інформацією Microsoft, таке поєднання може надати зловмиснику root-доступ до серверу. Користувачі, які працюють із Linux і вразливим ядром, також можуть стати жертвами фішингових атак — наприклад, відкривши шкідливе посилання чи вкладення, що запускає експлойт.
Крім того, баг може бути використаний у ланцюгових атаках на ланцюг постачання, коли зловмисники отримують доступ до облікового запису розробника з відкритим кодом і впроваджують шкідливий код, щоб скомпрометувати велику кількість пристроїв одночасно.
Через високий рівень ризику для федеральної інфраструктури, Агентство з кібербезпеки та інфраструктурної безпеки США (CISA) зобов’язало всі цивільні федеральні установи виправити уразливість на своїх системах до 15 травня.