O vulnerabilitate gravă de securitate care afectează aproape toate versiunile sistemului de operare Linux a luat prin surprindere specialiștii în securitate și aceștia se grăbesc să aplice corecții, după ce cercetători în securitate au publicat codul exploit care permite atacatorilor să preia controlul complet asupra sistemelor vulnerabile.
Guvernul SUA afirmă că bug-ul, denumit "CopyFail", este acum exploatat activ, ceea ce înseamnă că este utilizat în campanii malițioase de hacking. Bug-ul, urmărit oficial ca CVE-2026-31431 și descoperit în versiunile 7.0 și anterioare ale nucleului Linux, a fost dezvăluit echipei de securitate Linux la sfârșitul lunii martie și corectat după aproximativ o săptămână. Dar corecțiile nu au ajuns încă pe deplin la numeroasele distribuții Linux care se bazează pe nucleul vulnerabil, lăsând orice sistem care rulează o versiune Linux afectată la risc de compromitere.
Linux este utilizat pe scară largă în mediile de întreprindere, rulând computerele care operează o mare parte din centrele de date ale lumii. Site-ul web CopyFail afirmă că același script scurt Python "obține acces root la fiecare distribuție Linux livrată din 2017".
Conform firmei de securitate Theori, care a descoperit CopyFail, vulnerabilitatea a fost verificată în mai multe versiuni Linux utilizate pe scară largă, inclusiv Red Hat Enterprise Linux 10.1, Ubuntu 24.04 (LTS), Amazon Linux 2023, precum și SUSE 16.
Inginerul DevOps și dezvoltatorul Jorijn Schrijvershof a scris într-o postare pe blog că exploit-ul funcționează pe versiunile Debian și Fedora, precum și pe Kubernetes, care se bazează pe nucleul Linux. Schrijvershof a descris bug-ul ca având o "rază de acțiune neobișnuit de mare", deoarece funcționează pe "aproape fiecare distribuție modernă" de Linux.
Bug-ul se numește CopyFail deoarece componenta afectată din nucleul Linux, miezul sistemului de operare care are acces practic complet la întregul dispozitiv, nu copiază anumite date atunci când ar trebui. Acest lucru corupe date sensibile din cadrul nucleului, permițând atacatorului să profite de accesul nucleului la restul sistemului, inclusiv la datele sale.
Dacă este exploatat, bug-ul este deosebit de problematic, deoarece permite unui utilizator obișnuit, cu acces limitat, să obțină acces complet de administrator pe un sistem Linux afectat. Un compromis reușit al unui server într-un centru de date ar putea permite unui atacator să obțină acces la fiecare aplicație, server și bază de date a numeroși clienți corporativi și, eventual, să obțină acces la alte sisteme din aceeași rețea sau centru de date.
Bug-ul CopyFail nu poate fi exploatat prin internet de unul singur, dar poate fi transformat într-o armă dacă este utilizat împreună cu un exploit care funcționează prin internet. Conform Microsoft, dacă bug-ul CopyFail este combinat cu o altă vulnerabilitate care poate fi livrată prin internet, un atacator ar putea utiliza缺陷 pentru a obține acces root la un server afectat. Un utilizator care operează un computer Linux cu un nucleu vulnerabil ar putea fi, de asemenea, păcălit să deschidă un link sau un atașament rău intenționat care declanșează vulnerabilitatea.
Bug-ul ar putea fi, de asemenea, injectat prin atacuri asupra lanțului de aprovizionare, în care actorii rău intenționați piratează contul unui dezvoltator open source și plasează malware-ul în codul lor pentru a compromite un număr mare de dispozitive dintr-o singură lovitură.
Având în vedere riscul pentru rețeaua federală de întreprindere, agenția americană de securitate cibernetică CISA a ordonat tuturor agențiilor federale civile să corecteze orice sisteme afectate până la 15 mai.