Серйозна вразливість безпеки, що зачіпає майже всі версії операційної системи Linux, застала захисників зненацька й змусила їх терміново встановлювати виправлення після того, як дослідники безпеки публічно виклали експлойт‑код, який дозволяє зловмисникам повністю захоплювати контроль над уразливими системами.
Уряд США повідомляє, що баг, названий CopyFail, уже експлуатується «в полі», тобто активно використовується в зловмисних хакерських кампаніях.
Помилка, офіційно відстежувана як CVE-2026-31431 і виявлена у версіях ядра Linux 7.0 і раніших, була розкрита команді з безпеки ядра Linux наприкінці березня й виправлена приблизно за тиждень. Однак патчі ще не повністю дісталися до численних дистрибутивів Linux, які покладаються на вразливі версії ядра, тож будь‑яка система з таким ядром залишається під загрозою компрометації.
Linux широко використовується в корпоративному середовищі й забезпечує роботу комп’ютерів, на яких працює значна частина світових дата‑центрів.
На сайті CopyFail зазначається, що один короткий скрипт на Python «отримує root‑доступ на кожному дистрибутиві Linux, випущеному з 2017 року». За даними компанії з кібербезпеки Theori, яка виявила CopyFail, вразливість підтверджено на кількох широко використовуваних версіях Linux, зокрема Red Hat Enterprise Linux 10.1, Ubuntu 24.04 (LTS), Amazon Linux 2023, а також SUSE 16.
Інженер DevOps і розробник Йорейн Схрейверсхоф у блозі написав, що експлойт працює також на версіях Debian і Fedora, а також у Kubernetes, який використовує ядро Linux. Схрейверсхоф описав баг як такий, що має «незвично великий радіус ураження», оскільки працює «майже на кожному сучасному дистрибутиві» Linux.
Баг отримав назву CopyFail через те, що уражений компонент ядра Linux — ядро є основою операційної системи й має практично повний доступ до всього пристрою — не копіює певні дані у випадках, коли це має відбуватися. У результаті пошкоджуються чутливі дані всередині ядра, що дозволяє зловмиснику скористатися доступом ядра до решти системи, включно з її даними.
У разі експлуатації помилка особливо небезпечна, оскільки дозволяє звичайному користувачеві з обмеженими правами отримати повний адміністраторський доступ (root) на ураженій системі Linux. Успішна компрометація сервера в дата‑центрі може дозволити зловмиснику отримати доступ до всіх застосунків, серверів і баз даних численних корпоративних клієнтів, а також потенційно дістатися інших систем у тій самій мережі або дата‑центрі.
Вразливість CopyFail сама по собі не може бути експлуатована безпосередньо через інтернет, але може бути «зброєнізована», якщо поєднати її з іншим експлойтом, який працює через мережу. За даними Microsoft, якщо баг CopyFail об’єднати з іншою вразливістю, що може доставлятися через інтернет, зловмисник зможе отримати root‑доступ до ураженого сервера. Користувача Linux з уразливим ядром також можуть обдурити, змусивши відкрити шкідливе посилання або вкладення, яке запускає експлуатацію вразливості.
Баг також може бути впроваджений через атаки на ланцюжок постачання: у такому разі зловмисники зламують акаунт розробника з відкритим кодом і вбудовують шкідливе ПЗ у його програмний код, щоб скомпрометувати велику кількість пристроїв за один раз.