美国网络安全和基础设施安全局 (CISA) 周五将最近披露的一个影响各种 Linux 发行版的安全漏洞添加到其已知利用漏洞 (KEV) 目录中,并指出有证据表明该漏洞已被积极利用。
该漏洞编号为CVE-2026-31431(CVSS 评分:7.8),是一个本地权限提升 (LPE) 漏洞,可能允许非特权本地用户获取 root 权限。这个存在了九年的漏洞也被 Theori 和 Xint 标记为Copy Fail。Linux内核版本 6.18.22、6.19.12 和 7.0 已修复此漏洞。
美国网络安全和基础设施安全局 (CISA) 在一份公告中表示:“Linux 内核存在资源在不同领域之间传输不正确的漏洞,可能导致权限提升。”
研究人员在本周早些时候发表的一篇报告中指出,Copy Fail漏洞源于Linux内核身份验证加密模板中的一个逻辑错误,攻击者可以利用一个732字节的Python漏洞利用程序轻松可靠地提升权限。该漏洞是通过2011年、2015年和2017年对Linux内核进行的三次独立修改引入的,每次修改本身并无害处。
该高危安全漏洞影响自 2017 年以来发布的 Linux 发行版,允许非特权本地用户通过破坏内核内存中任何可读文件(包括 setuid 二进制文件)的页面缓存来获取 root 权限。这种破坏操作可以由非特权用户执行,并可能导致以 root 权限执行代码。
谷歌旗下的Wiz公司表示: “由于页面缓存代表的是可执行文件的内存版本,因此修改页面缓存实际上会在运行时更改二进制文件,而无需触及磁盘。这使得攻击者能够将代码注入到特权二进制文件(例如/usr/bin/su)中,从而获得root权限。”
由于 Linux 在云环境中的普及,该漏洞的影响十分显著。卡巴斯基在其对该漏洞的分析中指出,Copy Fail 漏洞对容器化环境构成严重威胁,因为 Docker、LXC 和 Kubernetes 默认情况下“如果 algif_aead 模块加载到主机内核中,则会授予容器内进程访问 AF_ALG 子系统的权限”。
“Copy Fail漏洞存在突破容器隔离并控制物理机的风险,”这家俄罗斯安全厂商表示。“同时,利用该漏洞无需使用复杂的技术,例如竞态条件或内存地址猜测,这降低了潜在攻击者的准入门槛。”
“检测这种攻击很困难,因为该漏洞利用程序只使用合法的系统调用,这很难与正常的应用程序行为区分开来。”
雪上加霜的是,卡巴斯基已经提供了一个完全可用的漏洞利用概念验证 (PoC),并表示已经在开源代码库中检测到了原始 Python 实现的 Go 和 Rust 版本。
美国网络安全和基础设施安全局 (CISA) 没有透露该漏洞在实际环境中是如何被利用的。不过,微软 Defender 安全研究团队表示,“他们发现初步测试活动,这很可能导致未来几天内威胁行为者利用该漏洞的情况增加。”
“该攻击向量为本地攻击(AV:L),所需权限低,无需用户交互,这意味着任何在易受攻击的系统上的非特权用户都可以尝试利用该漏洞,”声明补充道。“至关重要的是,该漏洞单独使用时无法远程利用,但如果与诸如安全外壳(SSH)访问、恶意持续集成(CI)作业执行或容器立足点等初始访问向量结合使用,则会造成极大的影响。”
这家科技巨头还详细说明了攻击者可能利用该漏洞的一条途径——
- 进行侦察,以识别运行易受复制失败影响的内核版本的 Linux 主机或容器。
- 准备一个简单的 Python 触发器,用于攻击该端点。
- 从低权限环境下执行漏洞利用,可以是主机上的普通 Linux 用户,也可以是没有任何特殊权限的被入侵容器进程。
- 漏洞利用程序对内核页面缓存执行受控的 4 字节覆盖,导致敏感的内核管理数据损坏。
- 攻击者将其进程的 UID 提升至 0,并获得完整的 root 权限。
联邦民事行政部门 (FCEB) 已被告知需在 2026 年 5 月 15 日前应用修复程序,受影响的 Linux 发行版已推送更新。如果无法立即进行修补,建议各组织禁用受影响的功能,实施网络隔离,并应用访问控制。