Linux 内核爆雷!CVE-2026-31431 已被实战利用,你的服务器还在裸奔吗?
从漏洞披露到被黑客利用,只用了 1 天。CISA 连夜将其加入 KEV 目录,要求联邦机构 10 天内必须修补。这不是演习。
一、事情是这样的
2026 年 5 月 4 日,安全研究团队 Theori 披露了一个 Linux 内核中的本地提权漏洞,CVE 编号 CVE-2026-31431,代号 "Copy Fail"。
仅仅一天之后,CISA 将其加入已知被利用漏洞(KEV)目录——这个速度在 CISA 历史上都算罕见的。
为什么这么快?因为威胁行为者已经在野外实战利用了。
二、这个漏洞到底有多严重?
2.1 一句话解释
一个普通用户(没有 root 权限),只需要在系统上执行一个 Python 脚本,就能拿到 root 权限。
2.2 技术细节
▪影响组件:Linux 内核的 algif_aead 加密算法接口
▪漏洞类型:本地提权(Local Privilege Escalation)
▪攻击方式:攻击者向任意可读文件的页缓存写入 4 个可控字节,即可触发内核权限提升
▪CVSS 评分:待官方评定,但实际危害等同 CVSS 10.0
2.3 影响范围——几乎每一台 Linux 服务器
Theori 研究团队在披露时给出了一个令人窒息的结论:
"同一个漏洞利用脚本,四台不同的 Linux 发行版,四台都拿到了 root shell——一次演示全部搞定。"
已验证受影响的系统:
▪✅ Ubuntu 24.04 LTS
▪✅ Amazon Linux 2023
▪✅ RHEL 10.1
▪✅ SUSE 16
更可怕的是:研究团队明确表示,2017 年到补丁发布之间构建的内核版本,全部在攻击范围内。
换句话说,过去 9 年的主流 Linux 发行版,几乎无一幸免。
三、漏洞利用有多简单?
Theori 团队公开了一个 Python 漏洞利用脚本,号称 "100% 可靠"。
这意味着什么?意味着即使是一个脚本小子,只要有一台受影响的 Linux 服务器上的普通用户权限,就能轻松提权到 root。
这在多租户环境(云主机、共享服务器、容器环境)中尤其危险——你根本不需要外部漏洞,只要能在系统上执行代码,就能拿下整台机器。
四、为什么这个漏洞值得你今晚就爬起来修补?
4.1 CISA 的 KEV 目录 = 官方确认"已被黑客利用"
CISA 将 CVE-2026-31431 加入 KEV 目录,同时下达了 BOD 22-01 指令,要求联邦民用行政机构(FCEB)在 2026 年 5 月 15 日前完成修补。
KEV 目录不是随便进的。能进去的漏洞,都是 CISA 确认有真实攻击者在使用的。
4.2 你的服务器可能正在被渗透
如果你的 Linux 服务器满足以下条件:
▪内核版本在 2017 年之后构建
▪有普通用户账号可以登录(SSH、WebShell、容器逃逸等)
▪尚未安装最新内核补丁
那么你现在就是待宰的羔羊。
4.3 连锁反应——从提权到横向移动
拿到 root 权限后,攻击者可以:
①安装 rootkit,持久化驻留
②窃取所有用户凭证和密钥
③作为跳板攻击内网其他机器
④部署勒索软件(参考同期爆发的 Sorry 勒索软件攻击,已感染 4 万+ cPanel 服务器)
五、🛡️ 紧急检查清单(立即执行!)
5.1 检查你的内核是否受影响
# 查看当前内核版本uname -r # 检查内核构建时间cat /proc/version # 检查是否已加载 algif_aead 模块 lsmod | grep algif_aead # 查看内核安全更新日志# Debian/Ubuntu: apt list --upgradable 2>/dev/null | grep linux-image # RHEL/CentOS: yum check-update kernel # SUSE: zypper lu | grep kernel
5.2 确认你的内核版本
⚠️ 注意:具体安全版本请以各发行版官方安全公告为准。上面的版本是截至 2026 年 5 月 4 日的已知修复版本。
5.3 临时缓解措施(无法立即重启时)
如果你暂时不能重启服务器(生产环境你懂的),可以用以下方法降低风险:
# 方案 1:禁用 algif_aead 模块(推荐)echo"install algif_aead /bin/true" | sudotee /etc/modprobe.d/disable-algif-aead.conf sudo rmmod algif_aead 2>/dev/null # 方案 2:限制普通用户权限# 确保没有不必要的本地账户cat /etc/passwd | awk -F: '$3 >= 1000 && $3 < 65534 {print $1}'# 方案 3:启用 AppArmor/SELinux 强制模式# SELinux: getenforce # 确认是 Enforcing# AppArmor:sudo aa-enforce /usr/sbin/* # 根据实际服务调整
5.4 修补步骤
# Ubuntu/Debiansudo apt update sudo apt upgrade linux-image-$(uname -r) sudo reboot # RHEL/CentOSsudo yum update kernel sudo reboot # SUSEsudo zypper patch sudo reboot # 重启后验证uname -r # 确认内核版本已更新
六、同类威胁速览
CVE-2026-31431 不是今天唯一的威胁。以下是过去 48 小时内值得关注的其他安全事件:
6.1 cPanel 严重漏洞 + Sorry 勒索软件
超过 40,000 台服务器正在被批量入侵,攻击者利用 cPanel 的严重漏洞部署 Sorry 勒索软件。如果你的客户使用 cPanel 托管,立即检查!
6.2 80+ 组织遭 SimpleHelp/ScreenConnect RMM 钓鱼攻击
攻击者利用远程管理工具进行钓鱼,已影响 80 多个组织。RMM 工具正在成为攻击者的新入口。
6.3 Trellix 源代码泄露
Trellix 确认其源代码仓库被未授权访问。作为知名安全厂商,这次泄露可能暴露其产品的内部实现细节,影响其客户的安全评估。
6.4 30,000 个 Facebook 账号通过 Google AppSheet 钓鱼被盗
攻击者利用 Google AppSheet 构建钓鱼页面,大规模窃取 Facebook 账号。社交媒体安全再次敲响警钟。
七、总结与建议
CVE-2026-31431 这个漏洞,我给的评价就四个字:赶紧修补。
原因很简单:
①已被实战利用——CISA 的 KEV 目录不是摆设
②影响范围极广——2017 年以来的 Linux 内核几乎全中
③利用门槛极低——一个 Python 脚本就能拿 root
④后果极其严重——从提权到横向移动,一条路走到黑
给你的行动建议:
▪🚨 今天:检查所有 Linux 服务器的内核版本
▪🚨 今天:对受影响但未修补的服务器,立即应用临时缓解措施
▪🚨 本周:完成所有服务器的内核更新和重启
▪📋 持续:建立自动化的内核安全更新机制,不要等漏洞被利用了才想起来
安全不是等出来的,是做出来的。
📌 信息来源:
▪CISA KEV Catalog: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
▪BleepingComputer 报道: https://www.bleepingcomputer.com/news/security/cisa-says-copy-fail-flaw-now-exploited-to-root-linux-systems/
▪Theori 研究团队披露: CVE-2026-31431
🔔 数据织梦 — 网络安全技术分享,关注不迷路。转发给需要的人,可能救一台服务器。
聚焦安全研究、漏洞分析、攻防技术与行业观察 持续输出高质量安全内容 COMMUNITY · SECURITY GROUP 想继续交流漏洞分析、攻防实践和文章里的细节补充,欢迎扫码进群。
群内会不定期分享复现思路、工具经验和最新讨论。
扫码即可加入交流,二维码失效可在后台回复「加群」。
实战问题、漏洞思路、工具踩坑都可以在群里继续聊 也欢迎直接反馈你想看的后续选题