Vulnerabilitatea, înregistrată oficial ca CVE-2026-31431 și descoperită în versiunile 7.0 și anterioare ale nucleului Linux, a fost raportată echipei de securitate a nucleului Linux la sfârșitul lunii martie și a fost corectată după aproximativ o săptămână. Cu toate acestea, patch-urile nu au ajuns încă pe deplin la numeroasele distribuții Linux care se bazează pe nucleul vulnerabil, lăsând orice sistem care rulează o versiune afectată de Linux expus riscului de compromitere. Linux este utilizat pe scară largă în mediile enterprise, alimentând computerele care operează o mare parte din centrele de date ale lumii.
Site-ul CopyFail afirmă că același script scurt în Python „face root la fiecare distribuție Linux lansată din 2017”. Potrivit firmei de securitate Theori, care a descoperit CopyFail, vulnerabilitatea a fost verificată în mai multe versiuni utilizate pe scară largă de Linux, inclusiv Red Hat Enterprise Linux 10.1, Ubuntu 24.04 (LTS), Amazon Linux 2023, precum și SUSE 16.
Inginerul DevOps și dezvoltatorul Jorijn Schrijvershof a scris într-o postare pe blog că exploit-ul funcționează pe versiunile Debian și Fedora, precum și pe Kubernetes, care se bazează pe nucleul Linux. Schrijvershof a descris breșa ca având o „rază de explozie neobișnuit de mare”, deoarece funcționează pe „aproape fiecare distribuție modernă” de Linux.
Denumirea CopyFail provine de la faptul că componenta afectată din nucleul Linux – miezul sistemului de operare care are acces virtual complet la întregul dispozitiv – nu copiază anumite date atunci când ar trebui. Acest lucru corupe date sensibile din nucleu, permițând atacatorului să „călărească” accesul nucleului la restul sistemului, inclusiv la datele acestuia. Dacă este exploatată, breșa este deosebit de problematică deoarece permite unui utilizator obișnuit, cu acces limitat, să obțină acces complet de administrator pe un sistem Linux afectat.
O compromitere reușită a unui server dintr-un centru de date ar putea permite unui atacator să obțină acces la fiecare aplicație, server și bază de date a numeroși clienți corporativi și, potențial, să obțină acces la alte sisteme din aceeași rețea sau centru de date.
Vulnerabilitatea CopyFail nu poate fi exploatată prin internet de una singură, dar poate fi înarmată dacă este folosită împreună cu un exploit care funcționează prin internet. Potrivit Microsoft, dacă breșa CopyFail este combinată cu o altă vulnerabilitate care poate fi livrată prin internet, un atacator ar putea folosi defectul pentru a obține acces root la un server afectat. Un utilizator care operează un computer Linux cu un nucleu vulnerabil ar putea fi, de asemenea, păcălit să deschidă un link sau o atașare malițioasă care declanșează vulnerabilitatea.
Breșa ar putea fi injectată și prin atacuri asupra lanțului de aprovizionare, în care actorii rău intenționați sparg contul unui dezvoltator open source și plasează malware în codul acestuia pentru a compromite un număr mare de dispozitive dintr-o singură mișcare.
Având în vedere riscul pentru rețeaua federală enterprise, agenția americană de securitate cibernetică CISA a ordonat tuturor agențiilor civile federale să aplice patch-uri pe orice sistem afectat până pe 15 mai.
De ce este important:
Această vulnerabilitate nu este doar o altă breșă de securitate – este o amenințare sistemică la adresa infrastructurii critice globale. Linux alimentează serverele care stau la baza cloud-ului, a serviciilor financiare, a comunicațiilor și a guvernelor. Faptul că un simplu script Python poate oferi acces root la aproape orice distribuție Linux lansată în ultimii opt ani înseamnă că milioane de sisteme sunt expuse. Combinația cu posibilitatea de a fi exploatată prin internet (prin asociere cu alte vulnerabilități) face ca această breșă să fie o armă ideală pentru atacuri ransomware, spionaj cibernetic sau sabotaj. Ordinul CISA de a remedia până pe 15 mai subliniază urgența: fiecare organizație care rulează Linux trebuie să verifice imediat versiunile de kernel și să aplice patch-urile disponibile. Ignorarea acestei amenințări ar putea duce la compromiterea totală a rețelelor enterprise, cu consecințe financiare și de securitate națională devastatoare.
