Sigurnosna zajednica se već danima fokusira na ovo Neuspješno kopiranje, ranjivost CVE-2026-31431 Ova ranjivost utiče na Linux kernel i omogućava lokalnom korisniku bez privilegija da dobije root privilegije za nekoliko sekundi. Greška, koja je ostala skrivena od 2017. godine, izazvala je ozbiljnu zabrinutost među evropskim kompanijama, provajderima cloud usluga i javnim upravama koje se oslanjaju na Linux za gotovo sve.
Ono što najviše brine timove za sajber sigurnost nije samo tehnički uticaj, već kombinacija faktora: sitna zloupotreba, vrlo pouzdana logička greška i posebno teško otkrivanjeU okruženjima gdje se kod trećih strana izvršava svakodnevno - od dijeljenih servera u Španiji do Kubernetes klastera u velikim evropskim oblacima - Copy Fail je preko noći postao apsolutni prioritet.
Šta je neuspješno kopiranje (CVE-2026-31431) i kako je otkriveno?
Neuspješno kopiranje je Ranjivost lokalne eskalacije privilegija (LPE) u Linux kernelu, praćen kao CVE-2026-31431. Omogućava bilo kojem korisniku koji ima mogućnost izvršavanja koda na mašini - normalnom računu, procesu unutar Docker kontejnera ili CI zadatku - da podigne svoje dozvole na root na ranjivim sistemima.
Presuda je objavljena krajem aprila 2026. godine od strane istraživačkih timova kao što su Xint kod i teorijaIdentificirali su konceptualni dokaz u Pythonu od samo 732 bajta koji je sposoban iskoristiti logičku manu u kriptografskom podsistemu. Ovaj mali skript, sa samo nekoliko linija, oslanja se na AF_ALG soketi i poziv funkcije splice() da ošteti keš memoriju stranica osjetljivih binarnih datoteka i izazove eskalaciju privilegija.
Prema tehničkim analizama, problem je bio skriven od 2017. godine u kernelima koje distribuiraju gotovo sve glavne Linux porodice. Gotovo devet godina, Greška je prošla nezapaženo uprkos kontinuiranim revizijama i pregledima koda.Ovo je izazvalo duboku debatu o tome kako se optimizacije performansi pregledavaju u tako osjetljivim komponentama kao što je kriptografija kernela.
Jedan posebno upečatljiv detalj je uloga umjetne inteligencije: alata za automatsku analizu koda, kao što je Xint Code, bili su ključni za lociranje ranjivosti otkrivanjem anomalnih obrazaca ponašanja u pogođenom modulu. Bez ovih rješenja, mnogi stručnjaci priznaju da bi bilo vrlo teško ručno pronaći kvar.
Korijen problema: kriptografski modul algif_aead
U srži neuspjelog kopiranja je kriptografski podsistem Linux kernelai preciznije, interfejs algif_aead dostupan iz korisničkog prostora putem AF_ALG soketa. Ovaj interfejs omogućava aplikacijama bez posebnih privilegija da koriste kriptografske funkcije kernela za AEAD operacije šifriranja i autentifikacije.
Greška potiče od optimizacije uvedene 2017. godine — koja se u nekoliko analiza spominje kao "in-place" poboljšanje u algif_aead — koja nenamjerno probio sigurnosne mjere modulaPromjena je trebala poboljšati performanse ponovnom upotrebom ulaznih i izlaznih bafera, ali je otvorila vrata pisanju izvan granica unutar keša stranice.
Ranjivost se manifestuje u kriptografskom šablonu authencesn, koji kombinuje HMAC-SHA256 sa AES-CBCTokom određenih AEAD operacija, dio memorije namijenjene za izlaz se koristi kao privremeno radno područje, a zbog greške, 4 bajta se upisuju odmah izvan očekivanog područja, na stranicu keš memorije sistemskih datoteka.
Ta sitna, kontrolirana korupcija, samo četiri bajta, ispostavila se dovoljnom da manipulisanje binarnom memorijom pomoću bit setuid-a kao što su /usr/bin/su, sudo ili slični uslužni programi. Datoteka na disku se ne dira, ali se mijenja kopija u kešu stranica, i upravo tu kopiju kernel izvršava kada se program pokrene.
Kopija memorije, disk neoštećen: zašto je tako teško otkriti
Jedna od karakteristika koja ovu ranjivost čini posebno ozbiljnom je ta da Mijenja samo verziju datoteka u memoriji.Linux koristi keširanje stranica kako bi ubrzao pristup datotekama: umjesto da uvijek čita s diska, kopije se čuvaju u RAM-u radi bržeg vremena odziva.
Neuspješno kopiranje koristi ovaj mehanizam za modifikaciju, putem greške u algif_aead, 4 specifična bajta sa stranice keša binarne datoteke koju je odabrao napadačKljučno je da kernel ne označava tu stranicu kao "prljavu", tako da nikada ne zapisuje promjene nazad na disk. Iz perspektive datotečnog sistema, sve ostaje netaknuto.
To ima nekoliko praktičnih posljedica: s jedne strane, Provjere integriteta zasnovane na hešovima datoteka ne otkrivaju ništa neobičnoZato što se fizički sadržaj na disku ne mijenja. S druge strane, trag napada je nestabilan: ponovno pokretanje ili neki pritisak na memoriju koji prisiljava datoteku da se ponovo učita s diska uklanja sve tragove prethodne korupcije.
Nadalje, exploit koristi savršeno legitimne sistemske pozive (socket sa AF_ALG, splice, execve od /usr/bin/su, itd.), tako da Njegovo ponašanje oponaša normalan promet kernelaČak i napredna EDR rješenja mogu imati poteškoća u razlikovanju legitimne upotrebe AF_ALG od pokušaja iskorištavanja, osim ako se ne primjenjuju vrlo specifična pravila.
Kako iskoristiti Copy Fail: AF_ALG, splice i mali skript
Istraživači su pokazali da je dovoljno Python skripta od oko 732 bajta iskoristiti ranjivost u stvarnim uslovima. Proces, ukratko, slijedi relativno jednostavan, ali vrlo efikasan redoslijed.
Prvo, exploit otvara AF_ALG socket konfiguriran u AEAD modu ciljajući ranjivi predložak authencesn. Zatim se priprema deskriptor povezan sa stranicom keša ciljne binarne datoteke sa setuid-om, na primjer /usr/bin/su, a poziv splice() se koristi za povezivanje te stranice keša sa baferom koji će kernel koristiti kao odredište kriptografske operacije.
Tokom operacije šifriranja/autentifikacije, zbog greške uvedene 2017. godine, kernel kod izvršava pisanje od 4 bajta izvan predviđenog raspona baferaNapadač kontroliše i ulazne podatke i parametre zahtjeva, tako da može odlučiti koja vrijednost će biti zapisana i na kojem pomaku unutar stranice keša.
Ponavljanjem ovog obrasca onoliko puta koliko je potrebno, iskorištavanje se može prilagoditi. kritične instrukcije binarnog fajla u memoriji (Na primjer, zamjenom rutine za provjeru lozinke sekvencom koja pokreće privilegovanu ljusku.) Kada napadač izvrši modificiranu binarnu datoteku, kernel povlači podatke iz keširane kopije umjesto s diska, čime se dobija prava root ljuska.
Važna stvar koju treba napomenuti je to Neuspješno kopiranje samo po sebi ne otvara vrata s internetaUvijek postoji neki prethodni vektor potreban da bi se omogućilo lokalno izvršavanje koda: ranjivost na web stranici, kompromitovani račun, kontejner s ograničenim dozvolama, slabo zaštićena CI/CD skripta itd. Ali kada se taj prvi korak savlada, eskalacija na root s Copy Fail je, prema istraživačima, vrlo pouzdana u konvencionalnim okruženjima.
Pogođeni sistemi i distribucije: uticaj na Evropu i poslovno okruženje
Do sada objavljene analize se slažu da gotovo sva Linux jezgra distribuirana od 2017. Sistemi koji uključuju omogućene opcije algif_aead i AF_ALG su pogođeni ovom ranjivošću. Ovo pokriva većinu distribucija koje se koriste u Španiji i ostatku Evrope, na serverima, radnim stanicama i u cloud okruženjima.
Među spomenutim sistemima su Ubuntu, Debian, SUSE, Red Hat Enterprise Linux (RHEL), Amazon Linux i razne verzije korištene u WSL2Ubuntu LTS grane (16.04, 18.04, 20.04, 22.04 i novije) su primile ili primaju ažuriranja, iako neke nepodržane verzije - poput određenih kernela verzije 18.04 - više neće imati službenu zakrpu i ostat će u trajno rizičnoj situaciji.
U slučaju Debiana, sigurnosni trackeri ukazuju na to Verzije igara Bullseye, Bookworm i Trixie sa specifičnim 5.x i 6.x kernelima su ili su bile pogođene.Amazon Linux 2 i Amazon Linux 2023, koji se široko koriste u EC2 instancama i EKS čvorovima, također su navedeni kao ranjivi sa zakrpama koje čekaju na objavu ili su nedavno objavljene u raznim granama (5.4, 5.10, 5.15, 6.12, 6.18).
Za evropske organizacije koje hostuju kritičnu infrastrukturu – operatere, banke, javni sektor ili velike provajdere hostinga – to znači da Hiljadama servera je bilo potrebno hitno ažuriranje kernelaSamo gledanje generičkog broja verzije nije dovoljno: mnoge distribucije primjenjuju vlastite backportove i zakrpe, tako da je neophodno pregledati službene sigurnosne savjete svakog dobavljača.
Ranjivost je klasifikovana oko 7,8 od 10 na CVSS skaliUnutar kategorije "Visoka ozbiljnost". Iako se ne radi o udaljenom zero-day iskorištavanju koje omogućava preuzimanje kontrole nad sistemom izvana bez daljnjeg odlaganja, njegova sposobnost da ograničeni lokalni pristup pretvori u apsolutnu kontrolu čini ga, u praksi, vrlo ozbiljnim rizikom za modernu infrastrukturu.
Zašto je neuspješno kopiranje toliko opasno u oblaku, kontejnerima i CI/CD-u
Na kućnom računaru s jednim korisnikom, rizik od neuspjelog kopiranja može se, na prvi pogled, činiti prihvatljivim. Pravi problem nastaje u arhitekturama s više zakupaca i okruženjima gdje se rutinski izvršava kod trećih strana.Ovo je vrlo uobičajeno u španskim i evropskim kompanijama koje su masovno migrirale u oblak.
Na primjer, u Kubernetes klasterima, napadač koji uspije izvršiti kod unutar poda s malo dozvola mogao bi koristiti Copy Fail da... prekid izolacije kontejnera i skaliranje na host čvor ako osnovni kernel nije zakrpan. Od tog trenutka, kompromitovanje drugih podova ili čak cijelog klastera je samo stvar lančanog povezivanja akcija.
Ista stvar se dešava u CI/CD runneri (GitHub Actions, GitLab, Jenkins, interni sistemi) koji kompajliraju kod iz više projekata ili pokreću testove trećih strana. Greška u cjevovodu ili zlonamjernom repozitoriju mogla bi biti ulazna tačka za pokretanje exploita i preuzimanje kontrole nad hostom koji pokreće zadatke.
Kod VPS i shared hosting provajdera, koji su široko rasprostranjeni na španskom i evropskom tržištu, klijent ima pristup naizgled izolovanoj mašini. Možete koristiti Copy Fail za prelazak na fizički sistem koji hostira više virtuelnih mašina ili kontejnera.čime se uklanja jaz između kupaca.
Sve ovo objašnjava zašto je ranjivost stvorila toliki pritisak među pružateljima usluga u oblaku, podatkovnim centrima i operativnim timovima: Ne radi se samo o zaštiti određene mašine, već o očuvanju granica izolacije koje su temelj čitavih poslovnih modela..
Status zakrpe i odgovor na distribuciju
Konstrukcijsko rješenje uključuje ažurirajte kernel na verziju koja uključuje zakrpu za neuspjeh kopiranjaU službenom Linux stablu, promjena ključa poništava problematičnu optimizaciju algif_aead i očvršćava upravljanje baferom u pogođenim kriptografskim operacijama.
Glavne distributivne kompanije su reagovale različitim brzinama. Debian, Ubuntu i SUSE su prilično brzo objavili sigurnosna ažuriranja.Pokrivajući i stabilne i LTS grane. Neki vrlo specifični paketi - poput određenih IBM-optimiziranih kernela u Ubuntuu - označeni su kao "nepogođeni" jer ne uključuju ranjivi kod.
U slučaju Red Hata, početna reakcija je bila nešto opreznija, s planom da se procijeni utjecaj prije objavljivanja zakrpa u svim granama. Međutim, suočeni s pritiskom zajednice i javnim dokazima koncepta, Kompanija je na kraju ubrzala izdavanje ažuriranja za svoje poslovne proizvode, svjesni važnosti RHEL-a u evropskoj korporativnoj strukturi.
Amazon Linux, sa svoje strane, progresivno ažurira svoje kernele za EC2 instance i EKS čvoroviUprkos tome, mnogi administratori u Španiji i drugim evropskim zemljama morali su ručno provjeriti koji AMI i kernel granu koristi svaki server, budući da ne primaju sve slike ažuriranja istom brzinom.
U okruženjima gdje se održavaju starije, nepodržane verzije, kao što su neke instalacije Ubuntu 16.04 ili 18.04 koje su još uvijek prisutne kod malih provajdera ili starijih infrastruktura, situacija je delikatnija: U mnogim slučajevima, ti sistemi neće dobiti zakrpu.Stoga, ako nastavite koristiti ih trajno, izlažete se riziku od neuspjelog kopiranja i drugim nedavnim ranjivostima.
Privremene mjere ublažavanja: šta učiniti ako ne možete odmah ažurirati
Iako je opšta preporuka jasna - što prije zakrpiti i ponovo pokrenuti kernel - u praksi Ne mogu sve organizacije odjednom isključiti kritične usluge.Za ove slučajeve, istraživači su opisali nekoliko privremenih strategija ublažavanja koje značajno smanjuju površinu napada.
Prva se sastoji od Stavite modul algif_aead na crnu listu koristeći modprobeDodavanjem odgovarajućih pravila, modul se može spriječiti da se automatski učita, pa čak i može se ukloniti iz pokrenutog kernela pomoću naredbi poput rmmod, pod uslovom da ne postoje aktivne zavisnosti koje to sprečavaju.
Druga robusnija opcija, preporučena za nepouzdana radna opterećenja ili okruženja visokog rizika, je blokirati kreiranje AF_ALG soketa putem seccomp politika ili sistema za kontrolu pristupa poput AppArmora ili SELinuxa. Ova mjera zatvara glavni put za iskorištavanje Copy Faila, ali može uticati na legitimne aplikacije koje se oslanjaju na kriptografski podsistem kernela.
Neki dobavljači sigurnosne opreme i dobavljači opreme također predlažu Pregledajte i smanjite broj binarnih datoteka pomoću setuid bitova prisutnih u sistemima. Iako ne eliminiše ranjivost, smanjenje broja potencijalnih meta otežava zadatak napadača i ograničava uticaj uspješne eksploatacije.
U Ubuntu okruženjima, primjeri korištenja uslužnih programa poput profixa objavljeni su za Provjerite CVE status na svakom sistemu i olakšati administratoru primjenu privremenih ublažavanja. Međutim, ova rješenja treba shvatiti kao privremene zakrpe: krajnji cilj ostaje ažuriranje na fiksni kernel.
Kako otkriti pokušaje eksploatacije: revizija, SIEM i EDR
Pored instaliranja zakrpa, mnoge organizacije žele znati da li je neko pokušao ili uspio iskoristiti Copy Fail na njihovim sistemima. Budući da napad ostavlja malo vidljivih tragova na diskuDetekcija se prvenstveno zasniva na praćenju sumnjivih obrazaca ponašanja na nivou sistema.
Jedna od ponavljajućih preporuka je konfiguriranje auditd pravila za praćenje korištenja splice() i AF_ALG od strane neprivilegovanih korisnikaNa primjer, zapisivanje splice poziva koji manipulišu deskriptorima datoteka povezanim sa setuid binarnim datotekama kao što su su, sudo, passwd, gpasswd, newgrp, chfn, chsh, mount ili fusermount3, kada potiču od interpretera kao što je Python na atipičnim putanjama.
Također se preporučuje praćenje kreiranje socketa sa AF_ALG domenom (decimalna vrijednost 26) inicirano interaktivnim korisničkim UID-ovima (obično većim ili jednakim 1000) na sistemima gdje se ne očekuje velika upotreba kriptografskog API-ja kernela iz standardnih korisničkih aplikacija.
EDR rješenja i SIEM platforme počinju se uključivati Posebna pravila za neuspješno kopiranjes nazivima poput possible_lpe_by_python ili possible_copy_fail_cve_2026_31431. Ova pravila obično povezuju nekoliko događaja: čitanje setuid binarnih datoteka, korištenje splice-a, kreiranje AF_ALG socketa i naknadno pokretanje ljuske s povišenim privilegijama.
Za organizacije sa složenom infrastrukturom – bankarstvo, energetika, javni sektor – integracija ovih indikatora kompromitacije u njihove centralizirane sisteme nadzora je ključna. Iako ne garantuje otkrivanje svih pokušaja, značajno povećava vjerovatnoću identifikacije tekuće eksploatacije ili neovlaštenog internog testiranja.
Lekcije naučene iz drugih ranjivosti kernela: Dirty COW, Dirty Pipe i druge
Neuspješno kopiranje nije prva ranjivost koja eskalira privilegije i pogodila je Linux kernel. U posljednjoj deceniji, nedostaci poput Prljava krava (CVE-2016-5195) ili Prljava cijev (CVE-2022-0847), koji se također igrao s kešom stranica i internim mehanizmima kernela kako bi modificirao podatke koji su, teoretski, bili samo za čitanje.
Razlika je u tome što su se Dirty COW i Dirty Pipe više fokusirali na proizvoljno pisanje u datoteke na disku ili u cijevimaCopy Fail djeluje gotovo isključivo na kopiju u memoriji, bez mijenjanja fizičkog sadržaja. Za napadača, ovo se prevodi u ogromnu prednost u smislu prikrivenosti, budući da klasični alati za forenzičku analizu uveliko zavise od stanja datotečnog sistema.
Još jedan zanimljiv aspekt je da se CVE-2026-31431 uklapa u obrazac na koji mnogi stručnjaci ukazuju već neko vrijeme: Optimizacija performansi kernela bez temeljite procjene sigurnosnih implikacija Ovo može stvoriti vrlo ozbiljne ranjivosti. Promjena namijenjena uštedi ciklusa CPU-a u kriptografskim operacijama na kraju je otkrila milione servera.
Za evropske kompanije koje upravljaju vlastitom infrastrukturom ili se oslanjaju na pružatelje usluga u oblaku, lekcija je jasna: Održavanje kernela ne može se tretirati kao sekundarni zadatakOdgađanje ažuriranja iz straha od "prekida produkcije" akumulira tehnički dug koji na kraju uzima svoj danak u obliku sve složenijih sigurnosnih propusta.
Štaviše, ovaj put uloga umjetne inteligencije u otkriću Copy Faila nagovještava još jednu moguću budućnost: Iste napredne tehnike koje danas pomažu u lociranju buba mogle bi se koristiti da se one pronađu prije nego što to učine branioci.Održavanje kulture agilnog instaliranja zakrpa i kontinuiranog praćenja stoga postaje još važnije.
Sve što se dogodilo s Copy Failom (CVE-2026-31431) pojačava ideju koju mnoge evropske organizacije već brzo usvajaju: Jedna logička greška u srcu kernela može ugroziti kontejnere, dijeljene servere i kritične servise u roku od nekoliko sekundi.Ažuriranje kernela, onemogućavanje ranjivih modula tamo gdje nisu potrebni, jačanje AF_ALG monitoringa i pregled višekorisničkih i CI/CD okruženja postali su hitan zadatak za svaki tim koji upravlja Linux sistemima, od malih preduzeća do velikih cloud provajdera.