Copy Fail : luka w Linuksie pozwala na przejęcie root

TL;DR

CVE-2026-31431 (Copy Fail) to krytyczna luka w interfejsie kryptograficznym jądra Linuksa ¹. Pozwala użytkownikowi bez uprawnień na eskalację do uprawnień root poprzez zapisanie czterech bajtów do page cache ². CISA ³ potwierdziła aktywne wykorzystywanie i nakazała agencjom federalnym naprawę w ciągu dwóch tygodni ⁴. Exploit ⁵ działa bez modyfikacji na Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1, SUSE 16 ⁶ i każdej dystrybucji z jądrami od 2017 roku ⁷.

W skrócie: Luka istniała prawie dekadę ⁸. Teraz jest exploit. Każdy serwer Linux bez łatki jest zagrożony.

Wektor ataku

Copy Fail to błąd w obsłudze pamięci podręcznej (page cache) w module algif_aead ¹ — interfejsie do operacji kryptograficznych. Atakujący z dostępem lokalnym (np. zwykły użytkownik na serwerze) może zapisać cztery kontrolowane bajty do page cache dowolnego pliku, który może odczytać ². To pozwala na manipulację strukturami jądra i uzyskanie uprawnień root.

Mechanizm jest niezawodny — badacze z Theori ⁵ opisali exploit w Pythonie jako „100% niezawodny”. Działa bez zmian na Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 i SUSE 16 ⁶. Ten sam kod sprawdza się na każdej dystrybucji Linuksa z jądrami wydanymi od 2017 roku do momentu zastosowania łatki ⁷.

Kto jest zagrożony

Praktycznie każdy — luka dotyczy wszystkich dystrybucji Linuksa z jądrami od 2017 roku ⁹. To oznacza:

• Serwery produkcyjne (Ubuntu Server, CentOS, RHEL, Debian)
• Maszyny wirtualne w chmurze (AWS, Azure, GCP)
• Kontenery Docker (jeśli host ma podatne jądro)
• Systemy embedded i IoT
• Stacje robocze Linux

Wymagany jest dostęp lokalny jako użytkownik bez uprawnień ¹⁰. To może być:

• Pracownik z kontem dostępu na serwerze
• Aplikacja działająca w kontenerze
• Dostęp SSH z ograniczonymi uprawnieniami użytkownika
• Złośliwe zadanie w pipeline’u CI/CD

Scenariusze ataku

Microsoft zaobserwował ograniczone wykorzystywanie w naturze, głównie testy proof-of-concept ¹¹. Luka może być łańcuchowana z innymi wektorami ¹²:

1. SSH + Copy Fail: Atakujący loguje się na serwer z ograniczonym kontem, uruchamia exploit i przejmuje uprawnienia root.
2. CI/CD pipeline: Złośliwe zadanie w GitLab/GitHub Actions/Jenkins uruchamia exploit na runnerze.
3. Ucieczka z kontenera: Aplikacja w kontenerze Docker eskaluje do root na hoście ¹³.
4. Ruch boczny: W środowisku wielodzierżawcowym (np. współdzielony hosting) atakujący przechodzi z jednego konta na inne ¹³.

CVSS i powaga

CVSS score wynosi 7.8 (High) ¹⁴. To odzwierciedla pełną eskalację uprawnień — atakujący uzyskuje dostęp root, czyli pełną kontrolę nad systemem (poufność, integralność, dostępność).

Co zrobić w 24-48h

Dla administratorów systemów Linux

1. Sprawdź wersję jądra: uname -r. Jeśli jądro pochodzi z 2017 roku lub później — jesteś zagrożony.
2. Priorytet: serwery z dostępem SSH — to są pierwsze cele atakujących. Ogranicz dostęp SSH do zaufanych IP, jeśli możesz.
3. Sprawdź dostępne łatki:
   • Ubuntu: apt update && apt upgrade (kernel-image)
   • RHEL/CentOS: yum update kernel
   • Debian: apt update && apt upgrade
   • SUSE: zypper update kernel-default
4. Zaplanuj restart: Łatki jądra wymagają restartu. Zaplanuj okno maintenance.
5. Kontenery: Jeśli używasz Docker/Kubernetes, zaktualizuj jądro na hostach. Kontenery dziedziczą jądro hosta.

Dla polskich firm MŚP i startupów

• Jeśli hostujecie aplikacje na VPS (Hetzner, OVH, DigitalOcean, AWS) — skontaktujcie się z providerem w sprawie dostępności łatki. Większość dużych providerów już wdrożyła aktualizacje.
• Jeśli macie własne serwery — priorytet: serwery z dostępem SSH z internetu. To pierwszy cel atakujących.
• Jeśli używacie Kubernetes — zaktualizujcie jądra na węzłach roboczych. Bez tego każdy pod może przejąć hosta.

Dla zespołów bezpieczeństwa

1. Skanowanie: Sprawdź inwentarz systemów Linux. Które jądra są zainstalowane?
2. Priorytet: Serwery z dostępem sieciowym > maszyny wewnętrzne > środowiska deweloperskie i testowe.
3. Monitoring: Szukaj prób exploitacji — luka wymaga dostępu lokalnego, ale może być poprzedzona innym atakiem (np. RCE w aplikacji).
4. Komunikacja: Powiadom zespoły o terminie wdrożenia łatki. CISA nakazała agencjom federalnym naprawę do 15 maja ⁴.

Wskaźniki kompromitacji

Brak konkretnych IoC (adresy IP, domeny). Luka jest lokalna — atakujący musi mieć dostęp do maszyny. Szukaj:

• Podejrzanych procesów Pythona uruchamianych przez zwykłych użytkowników
• Nieoczekiwanych zmian uprawnień plików (chmod, chown)
• Logów SSH z nieznanych IP
• Anomalii w systemowych logach jądra (dmesg, /var/log/kern.log)

Atrybucja

Luka została ujawniona przez badaczy z Theori ⁵. Ujawnienie nastąpiło bez wcześniejszej koordynacji z opiekunami dystrybucji Linuksa ¹⁵ — exploit trafił do publicznej wiadomości szybko, zanim dystrybucje mogły przygotować patche.

Kontekst: prawie dekada w cieniu

Copy Fail istniała w jądrze Linuksa przez prawie dekadę ⁸. Nikt jej nie znalazł — ani badacze bezpieczeństwa, ani zespoły jądra. To pokazuje, jak trudne jest znalezienie luk w tak dużym i złożonym kodzie. Teraz, gdy exploit jest publiczny, każdy może go użyć.

Podsumowanie

Copy Fail to poważna luka, ale z jasnym rozwiązaniem: zaktualizuj jądro ⁷. Nie ma obejścia — musisz zastosować łatkę. Priorytet: serwery z dostępem SSH, kontenery, środowiska multi-tenant. CISA już to potwierdził — luka jest aktywnie wykorzystywana ³.

Źródła

Zobacz też

• CVE-2026-41940: krytyczna luka w cPanel masowo exploitowana
• CVE-2026-8632: Eskalacja uprawnień w sterownikach HP dla Linuksa
• SolarWinds Serv-U: Luka DoS aktywnie wykorzystywana. Alert CVE-2026-28318

Footnotes

1. CVE-2026-31431 znana jako „Copy Fail” znajduje się w interfejsie kryptograficznym algif_aead jądra Linuksa — https://www.bleepingcomputer.com/news/security/cisa-says-copy-fail-flaw-now-exploited-to-root-linux-systems/ ↩ ↩²

2. Luka pozwala użytkownikom bez uprawnień na uzyskanie uprawnień root poprzez zapisanie czterech kontrolowanych bajtów do page cache — https://www.bleepingcomputer.com/news/security/cisa-says-copy-fail-flaw-now-exploited-to-root-linux-systems/ ↩ ↩²

3. CISA dodała Copy Fail do katalogu Known Exploited Vulnerabilities w piątek — https://www.bleepingcomputer.com/news/security/cisa-says-copy-fail-flaw-now-exploited-to-root-linux-systems/ ↩ ↩²

4. CISA nakazała agencjom Federal Civilian Executive Branch naprawić systemy w ciągu dwóch tygodni, do 15 maja — https://www.bleepingcomputer.com/news/security/cisa-says-copy-fail-flaw-now-exploited-to-root-linux-systems/ ↩ ↩²

5. Theori ujawnił lukę w czwartek i udostępnił exploit w Pythonie opisany jako „100% niezawodny” — https://www.bleepingcomputer.com/news/security/cisa-says-copy-fail-flaw-now-exploited-to-root-linux-systems/ ↩ ↩² ↩³

6. Exploit działa bez modyfikacji na Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 i SUSE 16 — https://www.bleepingcomputer.com/news/security/cisa-says-copy-fail-flaw-now-exploited-to-root-linux-systems/ ↩ ↩²

7. Ten sam exploit działa niezmodyfikowany na każdej dystrybucji Linuksa z podatnym jądrem od 2017 roku — https://www.bleepingcomputer.com/news/security/cisa-says-copy-fail-flaw-now-exploited-to-root-linux-systems/ ↩ ↩² ↩³

8. Luka istniała przez prawie dekadę w jądrze Linuksa — https://www.securityweek.com/exploitation-of-copy-fail-linux-vulnerability-begins/ ↩ ↩²

9. Luka dotyczy praktycznie wszystkich dystrybucji Linuksa z jądrami wydanymi od 2017 roku do zastosowania poprawek — https://www.microsoft.com/en-us/security/blog/2026/05/01/cve-2026-31431-copy-fail-vulnerability-enables-linux-root-privilege-escalation/ ↩

10. Luka wymaga dostępu lokalnego jako użytkownik bez uprawnień do wykonania exploitu — https://www.microsoft.com/en-us/security/blog/2026/05/01/cve-2026-31431-copy-fail-vulnerability-enables-linux-root-privilege-escalation/ ↩

11. Microsoft zaobserwował ograniczone wykorzystywanie w naturze, głównie w testach proof-of-concept — https://www.securityweek.com/exploitation-of-copy-fail-linux-vulnerability-begins/ ↩

12. Luka może być łańcuchowana z dostępem SSH, złośliwymi zadaniami CI lub dostępem do kontenerów — https://www.securityweek.com/exploitation-of-copy-fail-linux-vulnerability-begins/ ↩

13. Luka może ułatwić breakout z kontenera, kompromis multi-tenant i ruch boczny w środowiskach współdzielonych — https://www.microsoft.com/en-us/security/blog/2026/05/01/cve-2026-31431-copy-fail-vulnerability-enables-linux-root-privilege-escalation/ ↩ ↩²

14. CVSS score dla CVE-2026-31431 wynosi 7.8 (High) — https://www.microsoft.com/en-us/security/blog/2026/05/01/cve-2026-31431-copy-fail-vulnerability-enables-linux-root-privilege-escalation/ ↩

15. Theori ujawnił lukę bez wcześniejszej koordynacji z opiekunami dystrybucji Linuksa — https://www.tomshardware.com/software/linux/cisa-flags-actively-exploited-copy-fail-linux-kernel-flaw-enabling-root-takeover-across-major-distros-unpatched-systems-may-remain-vulnerable-to-attack ↩