CVE-2026-31431, denumită CopyFail, este o vulnerabilitate de tip escaladare locală de privilegii care afectează practic toate versiunile majore ale kernelului Linux și pentru care un cod de exploatare funcțional a fost publicat miercuri seara de cercetătorii firmei de securitate Theori, declanșând îngrijorare serioasă în rândul administratorilor de sisteme și al echipelor de securitate din întreaga lume.
Un singur script, toate distribuțiile vulnerabile
Severitatea deosebită a CopyFail constă în faptul că un singur script Python, pus la dispoziție public odată cu dezvăluirea vulnerabilității, funcționează fără nicio modificare pe toate distribuțiile afectate, inclusiv Ubuntu 22.04, Amazon Linux 2023, SUSE 15.6 și Debian 12.
Cercetătorul Jorijn Schrijvershof a explicat că o escaladare locală de privilegii înseamnă că un atacator care reușește să ruleze cod pe o mașină, chiar și ca utilizator fără drepturi administrative, poate obține acces root complet — ceea ce îi permite să citească orice fișier, să instaleze backdoor-uri și să pivoteze către alte sisteme din rețea.
Spre deosebire de exploiturile care depind de condiții de cursă sau de corupere a memoriei, CopyFail exploatează o eroare de logică, ceea ce înseamnă că reușita sa nu este probabilistică, ci garantată.
Ce este CopyFail și de unde vine eroarea
CopyFail își trage numele dintr-un defect din API-ul criptografic al kernelului Linux, mai precis din modul în care șablonul de autentificare AEAD procesează numerele de secvență extinse folosite de IPsec.
Conform cercetătorilor de la Theori, procesul nu copiază datele așa cum ar trebui — în schimb, utilizează buffer-ul de destinație al apelantului ca zonă temporară de lucru, suprascrie 4 octeți dincolo de limita legitimă a datelor de ieșire și nu restaurează niciodată valorile originale.
Taeyang Lee, cercetătorul Theori care a descoperit vulnerabilitatea, a identificat suprafața de atac în subsistemul criptografic al kernelului folosind instrumentul de analiză de cod Xint, bazat pe inteligență artificială, după aproximativ o oră de scanare.
Infrastructură partajată, risc multiplicat
Impactul real al CopyFail devine evident în contextul infrastructurii partajate din 2026: fiecare container de pe un nod Kubernetes comun, fiecare chiriaș dintr-un mediu de găzduire shared, fiecare job CI/CD care rulează cod din pull request-uri externe și fiecare instanță WSL2 de pe un laptop cu Windows împart același kernel Linux cu vecinii lor, iar o vulnerabilitate de tip LPE la nivel de kernel anulează complet această graniță.
Un scenariu realist de atac ar putea arăta astfel: un atacator exploatează o vulnerabilitate într-un plugin WordPress, obține acces shell ca utilizator www-data, rulează scriptul CopyFail și devine root pe întregul host, cu acces la toți ceilalți chiriași. Theori a confirmat, de asemenea, că a dezvoltat un exploit capabil să evadeze din containere Kubernetes folosind aceeași vulnerabilitate.
Patch disponibil, dar nu și la distribuitori
Echipa de securitate a kernelului Linux a remediat vulnerabilitatea în versiunile 7.0, 6.19.12, 6.18.12, 6.12.85, 6.6.137, 6.1.170, 5.15.204 și 5.10.254, însă puține distribuții integraseră aceste corecturi în momentul publicării exploitului.
Theori a dezvăluit privat vulnerabilitatea cu cinci săptămâni înainte de publicare, dar nu a contactat direct distribuitorii — o decizie criticată dur de Will Dormann, analist principal de vulnerabilități la Tharros Labs, care a subliniat că niciun distribuitor listat de cercetători nu dispunea de patch-uri la momentul publicării.
Distribuțiile care au corectat vulnerabilitatea includ Arch Linux și Red Hat Fedora, iar SUSE, Red Hat și Ubuntu au publicat ghiduri de atenuare a riscurilor; pentru celelalte distribuții, utilizatorii sunt sfătuiți să verifice direct cu furnizorii respectivi.
Cel mai sever exploit din kernelul Linux din ultimii ani
Experții în securitate descriu CopyFail drept cea mai gravă vulnerabilitate de tip root din kernelul Linux din ultimii ani, comparabilă ca impact cu Dirty Pipe (2022) și Dirty Cow (2016), ambele exploatate activ în trecut. Deoarece exploitul a fost publicat înainte ca distribuțiile să fi integrat patch-urile kernelului, situația este echivalentă cu un zero-day funcțional — sau, mai precis, cu ceea ce specialiștii numesc un zero-day patch gap.
Toți utilizatorii de Linux, atât cei care administrează servere de date center, cât și cei cu dispozitive personale, sunt îndemnați să verifice imediat starea sistemelor proprii și să aplice ghidurile de securitate furnizate de distribuitorii lor.
