Rimtas saugumo pažeidžiamumas, turintis įtakos beveik kiekvienai „Linux“ operacinės sistemos versijai, užklupo gynėjus nepasiruošusius ir paskatino skubiai taisyti po to, kai saugumo tyrinėtojai viešai paskelbė išnaudojimo kodą, leidžiantį užpuolikams visiškai kontroliuoti pažeidžiamas sistemas.
JAV vyriausybė teigia, kad klaida, pavadinta „CopyFail“, dabar yra išnaudojama „laukinėje gamtoje“, o tai reiškia, kad ji aktyviai naudojama kenkėjiškose įsilaužimo kampanijose.
Klaida, oficialiai pažymėta kaip CVE-2026-31431 ir aptikta 7.0 ir senesnėse „Linux“ branduolio versijose, buvo atskleista „Linux“ branduolio saugos komandai kovo pabaigoje ir pataisyta maždaug po savaitės. Tačiau pataisos dar nėra visiškai įdiegtos daugelyje „Linux“ paskirstymų, kurie remiasi pažeidžiamu branduoliu, todėl bet kuriai sistemai, kurioje veikia paveikta „Linux“ versija, kyla pavojus, kad bus pažeista.
„Linux“ plačiai naudojama įmonės nustatymuose, kuriuose veikia kompiuteriai, kurie valdo daugumą pasaulio duomenų centrų.
„CopyFail“ svetainėje rašoma, kad tas pats trumpas „Python“ scenarijus „įveikia kiekvieną „Linux“ platinimą, išsiųstą nuo 2017 m.“. Pasak saugos įmonės „Theori“, kuri atrado „CopyFail“, pažeidžiamumas buvo patikrintas keliose plačiai naudojamose „Linux“ versijose, įskaitant „Red Hat Enterprise Linux 10.1“, „Ubuntu 24.04 (LTS)“, „Amazon Linux 2023“ ir „SUSE 16“.
„DevOps“ inžinierius ir kūrėjas Jorijnas Schrijvershofas tinklaraščio įraše rašė, kad išnaudojimas veikia „Debian“ ir „Fedora“ versijose, taip pat „Kubernetes“, kuri remiasi „Linux“ branduoliu. Schrijvershofas apibūdino klaidą kaip turinčią „itin didelį sprogimo spindulį“, nes ji veikia „beveik visuose šiuolaikiniuose „Linux“ platinimuose“.
Klaida vadinama „CopyFail“, nes paveiktas „Linux“ branduolio komponentas, operacinės sistemos branduolys, turintis beveik visišką prieigą prie viso įrenginio, nekopijuoja tam tikrų duomenų, kai turėtų. Tai sugadina slaptus branduolio duomenis, todėl užpuolikas gali susigrąžinti branduolio prieigą prie likusios sistemos dalies, įskaitant jos duomenis.
Jei ši klaida naudojama, ji yra ypač problemiška, nes leidžia įprastam ribotos prieigos vartotojui gauti visą administratoriaus prieigą paveiktoje „Linux“ sistemoje. Sėkmingas serverio kompromisas duomenų centre gali leisti užpuolikui gauti prieigą prie kiekvienos daugelio verslo klientų taikomosios programos, serverio ir duomenų bazės ir galbūt gauti prieigą prie kitų sistemų tame pačiame tinkle arba duomenų centre.
„CopyFail“ klaida negali būti išnaudota viena internete, tačiau ji gali būti panaudota, jei naudojama kartu su išnaudojimu, kuris veikia internete. „Microsoft“ teigimu, jei „CopyFail“ klaida yra sujungta su kitu pažeidžiamumu, kuris gali būti pateiktas internetu, užpuolikas gali pasinaudoti šia klaida, kad įgytų šakninę prieigą prie paveikto serverio. „Linux“ kompiuterį su pažeidžiamu branduoliu valdantis vartotojas taip pat gali būti apgautas, kad atidarytų kenkėjišką nuorodą arba priedą, kuris suaktyvina pažeidžiamumą.
Klaida taip pat gali būti įnešta per tiekimo grandinės atakas, kai kenkėjiški veikėjai įsilaužia į atvirojo kodo kūrėjo paskyrą ir į savo kodą įdeda kenkėjišką programą, kad vienu ypu pakenktų daugeliui įrenginių.
Atsižvelgdama į pavojų federaliniam įmonių tinklui, JAV kibernetinio saugumo agentūra CISA įsakė visoms civilinėms federalinėms agentūroms iki gegužės 15 d. pataisyti visas paveiktas sistemas.
