Ключевые выводы
- Уязвимость CopyFail (CVE‑2026‑31431) затрагивает почти все версии Linux‑ядра до 7.0, включая популярные дистрибутивы 2017‑2024‑х годов.
- Эксплойт позволяет локальному пользователю получить root‑привилегии, а в сочетании с другим сетевым уязвимостям – полностью контролировать сервер.
- США обязали все федеральные агентства установить патчи к 15 мая 2026; остальные организации должны внедрять исправления незамедлительно.
Linux‑ядро лежит в основе большинства серверов, облаков и контейнерных платформ. Когда в нём находится уязвимость с «большим радиусом действия», последствия могут коснуться тысяч компаний сразу. Поэтому важно разобраться, как работает CopyFail и что делать, пока патчи распространяются.
Что такое CopyFail и почему она так опасна
CopyFail – это кодовое название уязвимости, официально зарегистрированной как CVE‑2026‑31431. Проблема обнаружена в подсистеме копирования данных ядра Linux (function copy_*()), где при определённых условиях часть буфера не копируется, а просто «обнуляется». В результате ядро оставляет «дырку», позволяющую злоумышленнику выполнить произвольный код в контексте ядра.
Главный шанс эксплойта – это возможность взять контроль над ядром, а значит и над всей системой. Уязвимость классифицируется как «локальная эскалация привилегий», но в реальном мире её часто комбинируют с другими уязвимостями, которые уже доставляют вредоносный код через сеть.
Поскольку ядро имеет доступ к каждому физическому и логическому ресурсу устройства, любой код, запущенный в ядре, действует как суперпользователь. Таким образом, простой пользователь или даже процесс с ограниченными правами может превратиться в «root» и управлять всеми сервисами, базами данных и сетевыми настройками.
Кратко о механизме: скрипт‑эксплойт на Python открывает файл‑дескриптор, заставляет ядро выполнить некорректный copy_from_user()‑запрос, после чего получает доступ к памяти ядра, переписывает свои структуры и получает контроль над процессом init. Всё это происходит за пару секунд.
Кому уже пришлось столкнуться с проблемой
Исследователи из компании Theori, которые впервые опубликовали детали уязвимости, проверили её на пяти самых популярных дистрибутивах:
- Red Hat Enterprise Linux 10.1
- Ubuntu 24.04 LTS
- Amazon Linux 2023
- SUSE Linux Enterprise Server 16
- Debian 12 (по данным Jorijn Schrijvershof)
Кроме того, уязвимость подтверждена в Fedora, Kubernetes‑ноды и почти всех «свежих» образах Docker/Podman, которые используют ядро ≤ 7.0.
Это значит, что любой ИТ‑отдел, который до сих пор работает на версиях Linux, выпущенных после 2017 года, находится в зоне риска.
Как работает эксплойт на практике
1️⃣ Подготовка скрипта. Маленькая программа на Python (около 30 строк) собирает информацию о версии ядра и проверяет наличие уязвимого кода.
2️⃣ Триггер. Скрипт вызывает системный вызов, который приводит к некорректному копированию данных. На этом этапе ядро «запоминает» кусок пользовательского буфера в защищённой области.
3️⃣ Переписывание структуры. Эксплойт изменяет таблицу системных вызовов (sys_call_table), подменяя указатель на вредоносный код.
4️⃣ Получение root. После перезапуска процесса, управляемого ядром, система считает, что процесс запущен от имени администратора – и всё, доступ открыт.
Важно: без внешнего кода, доставленного через сеть, уязвимость не даст «получить доступ из ничего». Но в реальном мире часто используется цепочка: сначала злоумышленник эксплуатирует веб‑уязвимость, а потом «прокачивает» доступ до root через CopyFail.
Что делает CISA и какие требования к федеральным агентствам
Американское агентство по кибербезопасности (CISA) включило CopyFail в каталог известных эксплуатируемых уязвимостей. По официальному объявлению, все гражданские федеральные организации обязаны установить патчи к 15 мая 2026 года.
Для негосударственного сектора рекомендация та же: немедленно проверить версии ядра, установить обновления от дистрибьютора и, по возможности, выполнить полную переустановку без уязвимых компонентов.
Если ваш сервер работает под управлением актуального ядра 7.0‑plus, риск снижен, но следует внимательно следить за выпуском новых патчей, так как подгрузка исправлений в «длинные» цепочки обновлений может занять недели.
Пошаговый план защиты от CopyFail
Шаг 1. Инвентарь. С помощью команды uname -r и cat /etc/os-release определите, какие версии ядра и дистрибутива у вас установлены.
Шаг 2. Проверка наличия патча. На сайтах дистрибьюторов (Red Hat, Ubuntu, Amazon, SUSE) найдите «security advisory» по CVE‑2026‑31431. Если патч есть – установите его (yum update kernel, apt-get install --only-upgrade linux-image и т.д.).
Шаг 3. Перезагрузка. После обновления ядра обязательна перезагрузка, иначе система продолжит работать на старой уязвимой версии.
Шаг 4. Ограничение локального доступа. Запретите обычным пользователям запускать произвольный код, используйте SELinux/AppArmor, включите контроль доступа (RBAC).
Шаг 5. Мониторинг. Включите журналирование попыток использования copy_*()‑системных вызовов (eBPF‑скрипты, auditd) и настройте оповещения в SIEM.
Если вы не можете немедленно обновить ядро, рассмотрите временное решение — отключить модуль, связанный с уязвимостью, через параметр загрузки copy_fail.disable=1.
Влияние на облачные и контейнерные среды
Крупные облачные провайдеры уже начали раздавать патчи своим клиентам. Однако пользователи, которые сами собирают образы Docker/OCI, могут оказаться в «голодном» углу — их базовый образ может включать ядро 5.15, 6.1 или даже 7.0 без исправлений.
Для Kubernetes‑кластеров рекомендация проста: обновите узлы‑worker до ядра 7.1+ и проверьте, что kubelet использует только проверенный runtime.
Если вы применяете «живые» обновления (Live Patch) от Canonical или Red Hat, убедитесь, что они покрывают CVE‑2026‑31431; в противном случае используйте традиционный процесс обновления.
Справка
CISA (Cybersecurity and Infrastructure Security Agency) – федеральное агентство США, отвечающее за защиту критической инфраструктуры и координацию ответов на кибератаки. С 2021 года CISA поддерживает каталог известных эксплуатируемых уязвимостей, куда была включена CopyFail.
CVE‑2026‑31431 – уникальный идентификатор уязвимости, присвоенный международной базе данных CVE. Описывает ошибку в функции copy_*() ядра Linux, позволяющую локальному пользователю выполнить код с привилегиями ядра.
Theori – исследовательская компания в области кибербезопасности, обнаружившая уязвимость и опубликовавшая подробный отчёт о её влиянии на популярные дистрибутивы Linux.
Jorijn Schrijvershof – DevOps‑инженер и блогер, известный своими разборками уязвимостей в Linux и Kubernetes. Его статья впервые рассказала о том, как CopyFail работает на Debian и Fedora.
Red Hat Enterprise Linux (RHEL) – коммерческий дистрибутив Linux, широко используемый в корпоративных дата‑центрах. Версия 10.1 включала ядро 7.0, которое подвержено CopyFail; патч был выпущен в начале мая 2026 года.
Ubuntu 24.04 LTS – долгосрочная поддержка от Canonical, одна из самых популярных систем в облаках. Ядро 7.0‑LTS также уязвимо, но Canonical быстро предоставил обновление через apt.
Amazon Linux 2023 – дистрибутив, оптимизированный под AWS. Официальный канал поддержки объявил о выходе патча в середине апреля 2026 года.
SUSE Linux Enterprise Server 16 – дистрибутив, ориентированный на предприятия Европы. Патч доступен в репозитории SUSE-ESM и требует перезагрузки системы.
Kubernetes – система оркестрации контейнеров, в которой каждый нод работает на ядре Linux. Если нод использует уязвимую версию ядра, весь кластер может быть компрометирован через цепочку эксплойтов.
CopyFail показывает, насколько критично поддерживать актуальность ядра Linux, особенно в средах, где «один‑раз — потому‑что» обновления откладываются. Патчи уже доступны, их нетрудно установить, а последствия промедления могут стоить компаниям миллионы.
