Опубликованный код эксплойта для уязвимости, которая дает доступ к корневому доступу практически во всех версиях Linux, вызывает тревогу среди защитников, которые спешат предотвратить серьезные компрометации внутри центров обработки данных и на личных устройствах.

Уязвимость и эксплойт

Уязвимость и код эксплойта, который ее использует, были опубликованы исследователями из компании Theori, через пять недель после того, как они были приватно раскрыты команде безопасности ядра Linux. Команда исправила уязвимость в версиях 7.0, 6.19.12, 6.18.12, 6.12.85, 6.6.137, 6.1.170, 5.15.204 и 5.10.254, но многие дистрибутивы Linux не успели включить эти исправления к моменту публикации эксплойта.

Одним скриптом можно взломать все дистрибутивы

Критическая уязвимость, отслеживаемая как CVE-2026-31431 и получившая название CopyFail, является локальной уязвимостью повышения привилегий, которая позволяет непривилегированным пользователям повысить свои привилегии до администраторов. CopyFail особенно серьезна, поскольку ее можно использовать с помощью одного кода эксплойта, который работает на всех уязвимых дистрибутивах без изменений. С помощью этого эксплойта атакующий может, среди прочего, взломать многопользовательские системы, вырваться из контейнеров на основе Kubernetes или других фреймворков и создать злонамеренные запросы на извлечение, которые передают код эксплойта через CI/CD-потоки.

Publicly released exploit code for an effectively unpatched vulnerability that gives root access to virtually all releases of Linux is setting off alarm bells as defenders scramble to ward off severe compromises inside data centers and on personal devices.

The vulnerability and exploit code that exploits it were released Wednesday evening by researchers from security firm Theori, five weeks after privately disclosing it to the Linux kernel security team. The team patched the vulnerability in versions 7.0, 6.19.12, 6.18.12, 6.12.85, 6.6.137, 6.1.170, 5.15.204, and 5.10.254) but few of the Linux distributions had incorporated those fixes at the time the exploit was released.

A single script hacks all distros

The critical flaw, tracked as CVE-2026-31431 and the name CopyFail, is a local privilege escalation, a vulnerability class that allows unprivileged users to elevate themselves to administrators. CopyFail is particularly severe because it can be exploited with a single piece of exploit code—released in Wednesday’s disclosure—that works across all vulnerable distributions with no modification. With that, an attacker can, among other things, hack multi-tenant systems, break out of containers based on Kubernetes or other frameworks, and create malicious pull requests that pipe the exploit code through CI/CD work flows.

Read full article

Comments