Lỗ hổng Copy Fail cho phép leo thang quyền root trên các bản phân phối Linux

Một lỗ hổng logic trong hệ thống con mật mã của nhân Linux cho phép người dùng cục bộ không có đặc quyền nâng cao quyền của họ lên cấp cơ sở. Các nhà phát triển của các bản phân phối chính đã bắt đầu phân phối các bản vá để sửa lỗi CVE-2026-31431, còn được gọi là Lỗi sao chép.

Vấn đề nằm ở mẫu xác thực, được sử dụng trong các hoạt động mã hóa được xác thực. Nó cho phép ghi bốn byte được kiểm soát vào bộ đệm trang của bất kỳ tệp có thể đọc được nào. Thay đổi này ảnh hưởng trực tiếp đến việc tải các tệp nhị phân của kernel.

Chi tiết kỹ thuật của lỗi xác thực

Lỗi phát sinh từ một thay đổi được triển khai vào năm 2017 trong mô-đun algif_aead. Thay đổi này cho phép các trang bộ đệm trang có sẵn để ghi trong một số trường hợp danh sách phân tán nhất định. Không giống như các lỗ hổng cổ điển khác, Copy Fail không yêu cầu điều kiện chạy đua để hoạt động.

Các nhà nghiên cứu tại Theori đã xác định được vấn đề nhờ sự hỗ trợ của các công cụ quét dựa trên AI. Bằng chứng về khái niệm là một tập lệnh Python chỉ có 10 dòng và 732 byte. Nó sửa đổi các tệp nhị phân setuid và chạy mã với các đặc quyền nâng cao trên hầu hết các bản phân phối được phát hành kể từ năm 2017.

• CVE-2026-31431 nhận được số điểm 7,8/10, được xếp vào mức độ nghiêm trọng cao
• Khai thác hoạt động trong môi trường nhiều người thuê và các vùng chứa có kernel dùng chung
• Bộ đệm trang được chia sẻ trên máy chủ có khả năng rò rỉ các vùng chứa Kubernetes
• Không thể khai thác từ xa một cách cô lập nhưng khuếch đại các vectơ khác

Việc khai thác làm thay đổi tệp nhị phân trong bộ nhớ mà không kích hoạt các cơ chế phát hiện dựa trên sự kiện của hệ thống tệp như inotify. Điều này làm cho việc phát hiện phức tạp hơn trong thời gian thực.

‼️Copy Fail (CVE-2026-31431) is a Linux privilege escalation bug that lets any local user get root using a 732-byte Python script, and itworks on basically every major Linux distro shipped since 2017.

Website: https://t.co/KsC4XDIdnn

Write-up: https://t.co/ah4C7XtRLZ

GitHub:… pic.twitter.com/EwqDdAxSKb

— Dark Web Informer (@DarkWebInformer) April 29, 2026

Tác động đến môi trường sản xuất và container

Các hệ thống chạy mã không đáng tin cậy, chẳng hạn như trình chạy CI/CD hoặc máy chủ dùng chung, dễ bị lộ hơn. Bộ đệm trang được chia sẻ ở cấp máy chủ có nguy cơ thoát cụ thể trong môi trường được chứa trong vùng chứa.

Các bản phân phối như Debian, Ubuntu và SUSE đã cung cấp các hạt nhân cập nhật. Red Hat đã thay đổi vị trí trì hoãn ban đầu và hiện đang cung cấp bản vá đồng bộ với hệ sinh thái. Các nhà cung cấp khác, bao gồm Fedora, cũng đã xác nhận bản sửa lỗi.

Quản trị viên quản lý nhiều đối tượng thuê hoặc khối lượng công việc của bên thứ ba nên ưu tiên nâng cấp. Lỗi này đã được hiển thị nhanh chóng sau khi phối hợp tiết lộ.

Leia Também

EA Sports FC 26 xuất hiện trên PlayStation Plus cùng với Wuchang Fallen Feathers

Vụ đặt cược mới của Capcom mang đến khả năng khám phá không gian và điều khiển trọng lực cho các bảng điều khiển thế hệ tiếp theo

Những người sáng tạo xác nhận việc phá hủy những con búp bê nguyên bản được sử dụng để quảng cáo cho Star Fox cổ điển

Cách giảm thiểu cho đến khi áp dụng bản vá đầy đủ

Biện pháp tạm thời là vô hiệu hóa mô-đun algif_aead. Điều này ngăn thành phần dễ bị tấn công tải trong hầu hết các trường hợp.

• Tạo file /etc/modprobe.d/disable-algif.conf với nội dung: install algif_aead /bin/false
• Chạy rmmod algif_aead để xóa mô-đun nếu nó được tải

Cài đặt này có thể ảnh hưởng đến các ứng dụng phụ thuộc rõ ràng vào mô-đun mã hóa. Nên thử nghiệm trong môi trường dàn dựng trước khi ứng dụng vào sản xuất. Cập nhật chính thức vẫn là giải pháp dứt khoát.

Các bản cập nhật được phát hành bởi các bản phân phối

Việc triển khai bản vá diễn ra theo cách phối hợp giữa các nhà bảo trì chính. Debian và Ubuntu đã xuất bản các hạt nhân mới với sự hoàn nguyên cần thiết về hành vi tại chỗ algif_aead. SUSE làm theo với các gói cập nhật.

Red Hat đã điều chỉnh hướng dẫn của mình sau khi xem xét nội bộ. Cộng đồng Linux tuân theo quy trình trên danh sách thảo luận và diễn đàn kỹ thuật. Nhiều quản trị viên đã khởi động ứng dụng trên các máy chủ quan trọng.

Sự gia tăng các báo cáo về lỗ hổng gần đây có liên quan trực tiếp đến việc sử dụng các công cụ AI trong việc tìm kiếm lỗi. Các chương trình như Internet Bug Bounty đã ghi nhận số lượng lớn lượt gửi, dẫn đến việc điều chỉnh tạm thời quy trình trao giải.

Những thay đổi nào đối với quản trị viên hệ thống Linux

Phát hiện này củng cố nhu cầu cập nhật kernel, đặc biệt là trên cơ sở hạ tầng dùng chung. Giờ đây, các nhóm bảo mật xem xét kỹ hơn các mô-đun mật mã và các thành phần hạt nhân được tải theo mặc định.

Copy Fail giống với những thất bại lịch sử như Dirty Cow và Dirty Pipe, nhưng nổi bật vì tính đơn giản trong việc khám phá và phạm vi rộng. PoC công cộng tạo điều kiện thuận lợi cho việc thử nghiệm nhưng cũng đẩy nhanh khả năng lạm dụng trong môi trường chưa được vá lỗi.

Các nhà nghiên cứu ước tính rằng hầu hết các cài đặt hoạt động kể từ năm 2017 đều cần được chú ý ngay lập tức. Sự phối hợp giữa các nhà cung cấp đã hạn chế thời gian tiếp xúc sau khi tiết lộ có trách nhiệm.