ข้อบกพร่องทางลอจิคัลในระบบย่อยการเข้ารหัสของเคอร์เนล Linux ช่วยให้ผู้ใช้ในพื้นที่ที่ไม่มีสิทธิ์สามารถยกระดับสิทธิ์ของตนไปที่ระดับรูท นักพัฒนาซอฟต์แวร์รุ่นหลักได้เริ่มแจกจ่ายแพตช์เพื่อแก้ไข CVE-2026-31431 หรือที่เรียกว่า Copy Fail แล้ว
ปัญหาอยู่ในเทมเพลตการตรวจสอบสิทธิ์ซึ่งใช้ในการดำเนินการเข้ารหัสที่มีการตรวจสอบสิทธิ์ ทำให้สามารถเขียนไบต์ควบคุมสี่ไบต์ลงในแคชเพจของไฟล์ที่สามารถอ่านได้ การเปลี่ยนแปลงนี้ส่งผลโดยตรงต่อการโหลดไบนารีโดยเคอร์เนล
รายละเอียดทางเทคนิคของความล้มเหลวในการรับรองความถูกต้อง
จุดบกพร่องนี้เกิดขึ้นจากการเปลี่ยนแปลงที่นำมาใช้ในปี 2560 ในโมดูล algif_aead การเปลี่ยนแปลงนี้อนุญาตให้เพจแคชเพจพร้อมใช้งานสำหรับการเขียนในสถานการณ์สมมติรายการกระจายบางอย่าง ไม่เหมือนกับช่องโหว่แบบคลาสสิกอื่นๆ การคัดลอกล้มเหลวไม่จำเป็นต้องมีเงื่อนไขการแข่งขันในการทำงาน
นักวิจัยที่ Theori ระบุปัญหาด้วยการสนับสนุนเครื่องมือสแกนที่ใช้ AI การพิสูจน์แนวคิดคือสคริปต์ Python ที่มีความยาวเพียง 10 บรรทัดและ 732 ไบต์ มันแก้ไขไบนารี setuid และรันโค้ดด้วยสิทธิ์ระดับสูงในการแจกแจงส่วนใหญ่ที่เปิดตัวตั้งแต่ปี 2560
- CVE-2026-31431 ได้คะแนน 7.8/10 จัดว่ามีความรุนแรงสูง
- Exploit ทำงานในสภาพแวดล้อมและคอนเทนเนอร์ที่มีผู้เช่าหลายรายพร้อมเคอร์เนลที่ใช้ร่วมกัน
- แคชของเพจที่ใช้ร่วมกันบนโฮสต์ทำให้เกิดการรั่วไหลของคอนเทนเนอร์ Kubernetes
- ไม่สามารถหาประโยชน์ได้จากระยะไกลโดยแยกจากกัน แต่ขยายเวกเตอร์อื่นๆ
การใช้ประโยชน์นี้จะเปลี่ยนไบนารีในหน่วยความจำโดยไม่กระตุ้นกลไกการตรวจจับตามเหตุการณ์ของระบบไฟล์ เช่น inotify ทำให้การตรวจจับมีความซับซ้อนมากขึ้นแบบเรียลไทม์
https://twitter.com/DarkWebInformer/status/2049579219190165658?ref_src=twsrc%5Etfw
ผลกระทบต่อสภาพแวดล้อมการผลิตและคอนเทนเนอร์
ระบบที่ใช้โค้ดที่ไม่น่าเชื่อถือ เช่น CI/CD runners หรือเซิร์ฟเวอร์ที่ใช้ร่วมกัน จะถูกเปิดเผยมากขึ้น แคชของเพจที่ใช้ร่วมกันในระดับโฮสต์ก่อให้เกิดความเสี่ยงในการหลีกเลี่ยงอย่างเป็นรูปธรรมในสภาพแวดล้อมแบบคอนเทนเนอร์
การแจกจ่ายเช่น Debian, Ubuntu และ SUSE ได้ทำให้เคอร์เนลที่อัปเดตพร้อมใช้งานแล้ว Red Hat ได้เปลี่ยนตำแหน่งเริ่มต้นของความล่าช้า และตอนนี้กำลังเสนอแพตช์ที่ซิงค์กับระบบนิเวศ ผู้จำหน่ายรายอื่นๆ รวมถึง Fedora ก็ได้ยืนยันการแก้ไขแล้วเช่นกัน
ผู้ดูแลระบบที่จัดการผู้เช่าหลายรายหรือปริมาณงานของบริษัทอื่นควรจัดลำดับความสำคัญของการอัพเกรด จุดบกพร่องนี้มองเห็นได้รวดเร็วหลังจากการเปิดเผยข้อมูลร่วมกัน
วิธีบรรเทาผลกระทบจนกว่าจะใช้แพตช์เต็ม
มาตรการชั่วคราวคือการปิดใช้งานโมดูล algif_aad วิธีนี้จะป้องกันไม่ให้คอมโพเนนต์ที่มีช่องโหว่โหลดในสถานการณ์ส่วนใหญ่
- สร้างไฟล์ /etc/modprobe.d/disable-algif.conf โดยมีเนื้อหา: ติดตั้ง algif_aead /bin/false
- รัน rmmod algif_aad เพื่อลบโมดูลหากโหลดไว้
การตั้งค่านี้อาจส่งผลต่อแอปพลิเคชันที่ต้องอาศัยโมดูลการเข้ารหัสอย่างชัดเจน แนะนำให้ทำการทดสอบในสภาพแวดล้อมการแสดงละครก่อนการใช้งานจริง การอัปเดตอย่างเป็นทางการยังคงเป็นวิธีแก้ปัญหาขั้นสุดท้าย
การอัปเดตที่เผยแพร่โดยการแจกแจง
การเปิดตัวแพทช์เกิดขึ้นในลักษณะที่มีการประสานงานระหว่างผู้ดูแลหลัก Debian และ Ubuntu ได้เผยแพร่เคอร์เนลใหม่โดยจำเป็นต้องเปลี่ยนกลับเป็นพฤติกรรมแบบแทนที่ algif_aead SUSE ปฏิบัติตามแพ็คเกจที่อัปเดต
Red Hat ปรับแนวปฏิบัติหลังการตรวจสอบภายใน ชุมชน Linux ปฏิบัติตามกระบวนการในรายการสนทนาและฟอรัมทางเทคนิค ผู้ดูแลระบบจำนวนมากได้เริ่มแอปพลิเคชันบนเซิร์ฟเวอร์ที่สำคัญแล้ว
รายงานช่องโหว่ที่เพิ่มขึ้นล่าสุดเกี่ยวข้องโดยตรงกับการใช้เครื่องมือ AI ในการค้นหาจุดบกพร่อง โปรแกรมต่างๆ เช่น Internet Bug Bounty มีการส่งผลงานเข้าประกวดเป็นจำนวนมาก ซึ่งนำไปสู่การปรับเปลี่ยนกระบวนการมอบรางวัลเป็นการชั่วคราว
การเปลี่ยนแปลงอะไรสำหรับผู้ดูแลระบบ Linux
การค้นพบนี้ตอกย้ำความจำเป็นในการรักษาเคอร์เนลให้ทันสมัยอยู่เสมอ โดยเฉพาะบนโครงสร้างพื้นฐานที่ใช้ร่วมกัน ขณะนี้ทีมรักษาความปลอดภัยพิจารณาโมดูลการเข้ารหัสและส่วนประกอบเคอร์เนลที่โหลดตามค่าเริ่มต้นอย่างใกล้ชิดมากขึ้น
Copy Fail มีลักษณะคล้ายกับความล้มเหลวในอดีต เช่น Dirty Cow และ Dirty Pipe แต่โดดเด่นด้วยความเรียบง่ายในการสำรวจและขอบเขตที่กว้างขวาง Public PoC ช่วยอำนวยความสะดวกในการทดสอบ แต่ยังเร่งการละเมิดที่อาจเกิดขึ้นในสภาพแวดล้อมที่ไม่ได้รับการติดตั้งอีกด้วย
นักวิจัยคาดการณ์ว่าการติดตั้งส่วนใหญ่ที่ใช้งานมาตั้งแต่ปี 2560 จะต้องได้รับการดูแลทันที การประสานงานระหว่างผู้ขายจะจำกัดระยะเวลาการเปิดเผยหลังจากการเปิดเผยข้อมูลอย่างรับผิดชอบ