Una vulnerabilità logica nel sottosistema crittografico del kernel Linux consente agli utenti locali non privilegiati di elevare i propri diritti al livello root. Identificada come CVE-2026-31431 e soprannominato Copy Fail, il difetto colpisce le distribuzioni rilasciate a partire dal 2017. Desenvolvedoras delle principali distribuzioni hanno già distribuito patch per correggere il problema. L’exploit funziona tramite uno script Python di sole dieci righe e 732 byte.
Vulnerabilità tecnica Mecanismo Copy Fail
Il bug risiede nel modello authenticsn, un componente utilizzato nelle operazioni di crittografia autenticate. La falla consente agli utenti locali di scrivere quattro byte controllati nella cache della pagina di qualsiasi file leggibile. La modifica di Essa influisce direttamente sul caricamento dei file binari nel kernel, creando un gateway per l’escalation dei privilegi.
https://twitter.com/DarkWebInformer/status/2049579219190165658?ref_src=twsrc%5Etfw
Il problema ha avuto origine da una modifica implementata nel 2017 nel modulo algif_aead. La modifica di Essa ha consentito alle pagine della cache delle pagine di essere disponibili per la scrittura in determinati scenari di elenchi scatter. Diferentemente A differenza di altre vulnerabilità classiche, Copy Fail non richiede condizioni di competizione per funzionare, semplificando notevolmente il suo sfruttamento.
Pesquisadores di Theori ha identificato il problema con il supporto di strumenti di scansione basati sull’intelligenza artificiale. L’exploit altera il file binario in memoria senza attivare meccanismi di rilevamento basati sugli eventi del file system come inotify. Isso rende il rilevamento più complesso in tempo reale.
Impacto in ambienti di produzione e containerizzazione
- CVE-2026-31431 ha ricevuto un punteggio di 7,8 su 10, classificato come di gravità elevata.
- Exploração funziona in ambienti multi-tenant e contenitori con un kernel condiviso.
- La cache condivisa Page sull’host consente la potenziale fuga dei contenitori Kubernetes.
- Não è sfruttabile da remoto in isolamento, ma amplifica altri vettori di attacco.
Sistemas che eseguono codice non attendibile, come runner CI/CD o server condivisi, sono più a rischio. La cache delle pagine condivise a livello di host rappresenta una concreta minaccia di fuga negli ambienti containerizzati. Administradores che gestisce più tenant o carichi di lavoro di terze parti dovrebbe dare priorità all’aggiornamento immediato del kernel.
Distribuições ora offre patch corrette
Debian, Ubuntu e SUSE hanno già reso disponibili i kernel aggiornati con la correzione. Red Hat ha cambiato la sua posizione di differimento iniziale e ora offre la patch in sincronia con l’ecosistema. Anche Fedora ha apportato la correzione ai suoi repository. Il lancio delle patch avviene in modo coordinato tra i principali manutentori, con Debian e Ubuntu che pubblicano nuovi kernel con il necessario ripristino del comportamento sul posto di algif_aead.
La comunità Linux segue il processo nelle liste di discussione e nei forum tecnici. Gli amministratori di Muitos hanno già avviato l’applicazione sui server critici. Il coordinamento tra i fornitori ha limitato il periodo di esposizione dopo la divulgazione responsabile del guasto.
Mitigazione temporanea Medidas
Una misura temporanea consiste nel disabilitare il modulo algif_aead, impedendo il caricamento del componente vulnerabile nella maggior parte degli scenari. Administradores può creare il file /etc/modprobe.d/disable-algif.conf con il contenuto install algif_aead /bin/false. Após, è necessario eseguire rmmod algif_aead per rimuovere il modulo se è caricato.
La configurazione di Essa può influire sulle applicazioni che dipendono esplicitamente dal modulo di crittografia. Si consiglia di utilizzare Testes in ambienti di staging prima dell’applicazione in produzione. Atualizações ufficiale rimane la soluzione definitiva e più sicura per risolvere completamente la vulnerabilità.
Scoperta di Contexto e prospettive future
Copy Fail assomiglia a faglie storiche come Dirty Cow e Dirty Pipe, ma si distingue per la semplicità di esplorazione e l’ampiezza del campo di applicazione. Il recente aumento delle segnalazioni di vulnerabilità è direttamente correlato all’uso di strumenti di intelligenza artificiale nella caccia ai bug. Pesquisadores stima che la maggior parte delle installazioni attive dal 2017 richieda un’attenzione immediata per mantenere la sicurezza operativa.