Guvernul SUA avertizează: vulnerabilitatea CopyFail expune la risc aproape toate versiunile moderne de Linux

O vulnerabilitate severă de securitate, care afectează aproape fiecare versiune a sistemului de operare Linux, i-a luat prin surprindere pe specialiștii în securitate și i-a pus pe jar pentru a lansa rapid patch-uri, după ce cercetătorii au făcut public codul de exploatare ce permite atacatorilor să preia controlul total asupra sistemelor vulnerabile.

Guvernul Statelor Unite anunță că bug-ul, numit „CopyFail”, este acum exploatat în mod activ în mediul real, ceea ce înseamnă că este folosit deja în campanii malițioase de hacking.

Vulnerabilitatea, urmărită oficial ca CVE-2026-31431 și descoperită în versiunile de kernel Linux 7.0 și anterioare, a fost raportată echipei de securitate a kernelului Linux la sfârșitul lunii martie. După aproximativ o săptămână a fost lansat un patch, însă actualizările nu au ajuns încă pe deplin la numeroasele distribuții Linux care depind de kernelul vulnerabil, lăsând în continuare expus orice sistem care rulează o versiune afectată de Linux și amplificând riscul de compromitere.

Linux este utilizat pe scară largă în mediul enterprise și rulează sistemele informatice care susțin mare parte din centrele de date ale lumii.

Site-ul dedicat CopyFail susține că același script Python scurt „root-ează fiecare distribuție Linux livrată din 2017 încoace”. Compania de securitate Theori, care a descoperit CopyFail, a verificat vulnerabilitatea pe mai multe versiuni de Linux utilizate pe scară largă, inclusiv Red Hat Enterprise Linux 10.1, Ubuntu 24.04 (LTS), Amazon Linux 2023, precum și SUSE 16.

Inginerul DevOps și dezvoltatorul Jorijn Schrijvershof a scris într-o postare pe blog că exploit-ul funcționează și pe versiunile Debian și Fedora, precum și pe Kubernetes, care se bazează pe kernelul Linux. Schrijvershof a descris bug-ul ca având un „unusually big blast radius”, deoarece acționează asupra „nearly every modern distribution” de Linux, ceea ce îi conferă un impact deosebit de mare.

Numele CopyFail provine de la comportamentul componentei afectate din kernelul Linux, nucleul sistemului de operare, care are acces aproape complet la întregul dispozitiv. Această componentă nu copiază anumite date atunci când ar trebui să o facă. Rezultatul este coruperea unor date sensibile din interiorul kernelului, ceea ce permite atacatorului să profite de drepturile kernelului pentru a accesa restul sistemului, inclusiv datele stocate.

Odată exploatat, bug-ul devine deosebit de periculos, deoarece permite unui utilizator obișnuit, cu acces limitat, să obțină privilegii de administrator complet pe un sistem Linux afectat. Compromiterea reușită a unui server dintr-un centru de date îi poate oferi atacatorului acces la toate aplicațiile, serverele și bazele de date ale numeroșilor clienți corporativi. In plus, ar putea deschide calea către alte sisteme din aceeași rețea sau același centru de date.

CopyFail nu poate fi exploatat direct prin internet de unul singur, însă poate fi transformat într-o armă dacă este combinat cu un alt exploit accesibil prin internet. Conform Microsoft, dacă vulnerabilitatea CopyFail este înlănțuită cu o altă breșă ce poate fi livrată online, atacatorul ar putea folosi această combinație pentru a obține acces de tip „root” la un server vulnerabil. Un utilizator care rulează Linux cu un kernel afectat poate fi păcălit să deschidă un link sau un atașament malițios, ceea ce ar declanșa vulnerabilitatea.

Bug-ul poate fi introdus și prin atacuri asupra lanțului de aprovizionare software, în care atacatorii compromit contul unui dezvoltator de software open-source și inserează cod malițios în proiectele acestuia, cu scopul de a infecta un număr mare de dispozitive dintr-o singură lovitură.

Având în vedere riscul pentru rețeaua federală, agenția de securitate cibernetică a SUA, CISA, a ordonat tuturor agențiilor federale civile să aplice patch-urile pe toate sistemele afectate până la data de 15 mai.