Kërcënimi më i rëndë për Linux që është shfaqur në vite e kap botën të papërgatitur
Kodi shfrytëzues i publikuar publikisht për një dobësi të paarnuar në mënyrë efektive që u jep akses root pothuajse të gjitha versioneve të Linux-it po ndez kambanat e alarmit ndërsa mbrojtësit përpiqen të shmangin komprometime të rënda brenda qendrave të të dhënave dhe në pajisjet personale.
Dobësia dhe kodi i shfrytëzimit që e shfrytëzon atë u publikuan të mërkurën në mbrëmje nga studiuesit e firmës së sigurisë Theori, pesë javë pasi ia zbuluan privatisht ekipit të sigurisë së bërthamës Linux. Ekipi e përditësoi dobësinë në versionet 7.0 , 6.19.12, 6.18.12, 6.12.85, 6.6.137, 6.1.170, 5.15.204 dhe 5.10.254, por pak nga shpërndarjet e Linux-it kishin përfshirë këto rregullime në kohën kur u publikua shfrytëzimi.
E meta kritike, e gjurmuar si CVE-2026-31431 dhe me emrin CopyFail, është një përshkallëzim i privilegjeve lokale, një klasë dobësie që u lejon përdoruesve pa privilegje të ngrihen në administratorë. CopyFail është veçanërisht i rëndë sepse mund të shfrytëzohet me një pjesë të vetme të kodit shfrytëzues – të publikuar në zbulimin e së mërkurës – që funksionon në të gjitha shpërndarjet e cenueshme pa asnjë modifikim. Me këtë, një sulmues mund të, ndër të tjera, të hakojë sisteme me shumë qiramarrës, të dalë nga kontejnerët e bazuar në Kubernetes ose korniza të tjera dhe të krijojë kërkesa dashakeqe tërheqëse që e kalojnë kodin shfrytëzues përmes rrjedhave të punës CI/CD.
“‘Përshkallëzimi i privilegjeve lokale’ tingëllon i thatë, kështu që le ta shpjegoj”, shkroi të enjten studiuesi Jorijn Schrijvershof . “Do të thotë: një sulmues që tashmë ka një farë mënyre për të ekzekutuar kod në makinë, edhe si përdoruesi më i mërzitshëm pa privilegje, mund ta promovojë veten në root. Prej andej ata mund të lexojnë çdo skedar, të instalojnë backdoors, të shikojnë çdo proces dhe të kalojnë në sisteme të tjera.”
Schrijvershof shtoi se i njëjti skript Python që lëshoi Theori funksionon në mënyrë të besueshme për Ubuntu 22.04, Amazon Linux 2023, SUSE 15.6 dhe Debian 12. Studiuesi vazhdoi:
Pse ka rëndësi kjo në infrastrukturën e përbashkët? Sepse termi “lokal” mbulon shumë terren në vitin 2026: çdo kontejner në një nyje të përbashkët Kubernetes, çdo qiramarrës në një kuti të përbashkët hosting, çdo punë CI/CD që ekzekuton kod pull-request të pabesueshëm, çdo instancë WSL2 në një laptop Windows, çdo agjent AI i kontejnerizuar që i është dhënë akses në shell. Të gjithë ndajnë një kernel Linux me fqinjët e tyre. Një LPE kerneli e shemb atë kufi.
Zinxhiri realist i kërcënimeve duket kështu. Një sulmues shfrytëzon një dobësi të njohur të plugin-it WordPress dhe merr akses në shell si www-data. Ata ekzekutojnë PoC-në copy.fail. Tani ata janë root në host. Çdo qiramarrës tjetër është papritmas i arritshëm, në mënyrën që e përshkrova në këtë analizë të përkohshme të hack-ut. Dobësia nuk e fut sulmuesin në kuti; ajo ndryshon atë që ndodh në dhjetë sekondat e ardhshme pasi ata bien atje.
Dobësia rrjedh nga një defekt logjik “në vijë të drejtë” në API-n e kriptos së kernelit. Shumë shfrytëzime që shfrytëzojnë kushtet e racës dhe defektet e korruptimit të memories nuk kanë sukses të vazhdueshëm në të gjitha versionet ose shpërndarjet e kernelit, dhe ndonjëherë edhe në të njëjtën makinë. Për shkak se kodi i lëshuar për CopyFail shfrytëzon një defekt logjik, “besueshmëria nuk është probabilistike dhe i njëjti skript funksionon në të gjitha shpërndarjet, shkruan studiuesit nga Bugcrowd. “Pa dritare race, pa zhvendosje të kernelit.”
CopyFail e merr emrin sepse procesi i shabllonit authencesn AEAD (i përdorur për numrat e sekuencës së zgjeruar IPsec) në të vërtetë nuk i kopjon të dhënat kur duhet. Në vend të kësaj, ai “përdor bufferin e destinacionit të thirrësit si një bllok shënimesh, shkruan 4 bajt përtej rajonit legjitim të daljes dhe nuk i rikthen kurrë ato”, tha Theori. “‘Kopja’ e bajteve AAD ESN ‘dështon’ të qëndrojë brenda bufferit të destinacionit.”
Ekspertë të tjerë të sigurisë mbështetën perspektivën se CopyFail përbën një kërcënim serioz, me njërin që tha se është “dobësia më e keqe e “root”-it në kernel në kohët e fundit”.
Dobësia më e fundit e tillë në Linux ishte Dirty Pipe nga viti 2022 dhe Dirty Cow në vitin 2016. Të dyja këto dobësi u shfrytëzuan në mënyrë aktive në mënyrë të egër.
Shpërndarësit e Linux shpesh përdorin versionet më të vjetra të kernelit dhe rregullimet e backportimit në to. Nuk ka asnjë tregues në afatin e zbulimit që Theori ka kontaktuar ndonjëherë shpërndarësit. Me shfrytëzimin e disponueshëm përpara se shpërndarjet e fiksuara të ishin të disponueshme, zbulimi përbën diçka shumë të ngjashme me heqjen e një dobësie zero-day, megjithëse termi më i rreptë është ndoshta “boshllëk patch-i zero-day”.
“Organizata që bëri zbulimin… bëri një punë absolutisht të tmerrshme në koordinimin e dobësive”, tha në një intervistë Will Dormann, një analist kryesor i dobësive në Tharros Labs. “Ajo që më habit mua është se në shkrimin e tyre ata të dy: A) rendisin 4 shitës të prekur, dhe B) u thonë lexuesve të aplikojnë patch-e nga shitësit. Por para se të publikonin, ata nuk u shqetësuan të shihnin nëse ndonjë nga shitësit që rendisin KA VËRTETË PATCH-e. (Asnjë nuk ka).”
Përpjekjet për të kontaktuar përfaqësuesit e Theori nuk patën sukses.
Shpërndarjet që dihet se e kanë përmirësuar dobësinë përfshijnë Arch Linux dhe RedHat Fedora. Ato që dihet se kanë publikuar udhëzime për zbutjen e kësaj dobësie në kohën kur ky postim u publikua përfshijnë:
SUSE
RedHat
Ubuntu
Personat që kërkojnë statusin e shpërndarjeve të tjera duhet të kontrollojnë me shitësit përkatës.
Theori tha se zbuloi dobësinë pasi studiuesi i saj, Taeyang Lee, zbuloi se sipërfaqja në nënsistemin e kriptos (konkretisht, faqet e faqeve të cache-it të duarve të splice() dhe prejardhja e faqeve të scatterlist) ishte eksploruar pak. Duke përdorur mjetin e saj të sigurisë së kodit Xint të mundësuar nga inteligjenca artificiale, studiuesit gjetën gabimin pas rreth një ore skanimi. Kompania tha se ka zhvilluar gjithashtu një shfrytëzim që përdor CopyFail për të dalë nga kontejnerët e Kubernetes.
Ashpërsia e kërcënimit që paraqet CopyFail dhe gjasat e shfrytëzimit aktiv janë mjaftueshëm të larta për të justifikuar të gjithë përdoruesit e Linux-it që të hetojnë menjëherë sistemet e tyre. Shpërndarësit individualë ofrojnë udhëzime të dobishme për zbutjen e rrezikut, ashtu si edhe postimi nga Schrijvershof i lidhur më sipër.