Агентство по кибербезопасности США CISA сообщает, что уязвимость CopyFail активно используется в хакерских кампаниях и представляет серьезную угрозу для серверов и ЦОД, работающих на Linux. — techcrunch.com
Правительство США заявляет, что уязвимость, получившая название «CopyFail», уже эксплуатируется в реальных атаках, что означает ее активное использование в злонамеренных кампаниях по взлому.
Уязвимость, официально отслеживаемая как CVE-2026-31431 и обнаруженная в версиях ядра Linux 7.0 и более ранних, была раскрыта команде безопасности ядра Linux в конце марта и исправлена примерно через неделю. Однако исправления еще не успели полностью дойти до многочисленных дистрибутивов Linux, использующих уязвимое ядро, оставляя любую систему с затронутой версией Linux под угрозой компрометации.
Linux широко используется в корпоративном секторе, обеспечивая работу компьютеров, управляющих большей частью мировых центров обработки данных.
На веб-сайте CopyFail утверждается, что тот же короткий скрипт на Python «получает root-права на каждом дистрибутиве Linux, выпущенном с 2017 года». По данным фирмы безопасности Theori, которая обнаружила CopyFail, уязвимость была подтверждена в нескольких широко используемых версиях Linux, включая Red Hat Enterprise Linux 10.1, Ubuntu 24.04 (LTS), Amazon Linux 2023, а также SUSE 16.
Инженер DevOps и разработчик Йорийн Схрейверсхоф написал в своем блоге, что эксплойт работает в версиях Debian и Fedora, а также в Kubernetes, который зависит от ядра Linux. Схрейверсхоф охарактеризовал уязвимость как имеющую «необычайно широкий радиус поражения», поскольку она работает «почти на всех современных дистрибутивах» Linux.
Уязвимость получила название CopyFail, потому что затронутый компонент в ядре Linux , ядре операционной системы, которое имеет практически полный доступ ко всему устройству, не копирует определенные данные, когда это необходимо. Это приводит к повреждению конфиденциальных данных внутри ядра, позволяя злоумышленнику использовать доступ ядра для проникновения в остальную часть системы, включая ее данные.
В случае эксплуатации уязвимость особенно проблематична, поскольку она позволяет обычному пользователю с ограниченным доступом получить полные права администратора в затронутой системе Linux. Успешный компрометация сервера в центре обработки данных может позволить злоумышленнику получить доступ ко всем приложениям, серверам и базам данных многочисленных корпоративных клиентов, а также потенциально получить доступ к другим системам в той же сети или центре обработки данных.
Уязвимость CopyFail сама по себе не может быть использована через интернет, но может быть использована в сочетании с эксплойтом, работающим через интернет. Согласно Microsoft, если уязвимость CopyFail объединить с другой уязвимостью, доставляемой через интернет, злоумышленник может использовать этот недостаток для получения root-доступа к затронутому серверу. Пользователя, работающего на компьютере с уязвимым ядром Linux, также можно обманом заставить открыть вредоносную ссылку или вложение, которое активирует уязвимость.
Уязвимость также может быть внедрена посредством атак на цепочку поставок, когда злоумышленники взламывают учетную запись разработчика открытого исходного кода и внедряют вредоносное ПО в его код, чтобы скомпрометировать большое количество устройств за один раз.
Учитывая риск для федеральной корпоративной сети, Агентство по кибербезопасности США CISA потребовало от всех гражданских федеральных агентств установить исправления для любых затронутых систем до 15 мая.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Zack Whittaker