Nội dung bài viết
CopyFail đe dọa các máy chủ nhiều người thuê, luồng công việc CI/CD, vùng chứa Kubernetes, v.v.
Mã khai thác được phát hành công khai cho một lỗ hổng chưa được vá một cách hiệu quả, cho phép quyền truy cập root vào hầu như tất cả các bản phát hành Linux đang gióng lên hồi chuông cảnh báo khi những người bảo vệ cố gắng ngăn chặn những thỏa hiệp nghiêm trọng bên trong trung tâm dữ liệu và trên các thiết bị cá nhân.
Lỗ hổng và mã khai thác khai thác nó đã được các nhà nghiên cứu từ công ty bảo mật Theori phát hành vào tối thứ Tư, 5 tuần sau khi tiết lộ riêng cho nhóm bảo mật nhân Linux.
Nhóm đã vá lỗ hổng này trong các phiên bản 7.0, 6.19.12, 6.18.12, 6.12.85, 6.6.137, 6.1.170, 5.15.204 và 5.10.254) nhưng rất ít bản phân phối Linux đã tích hợp các bản sửa lỗi đó vào thời điểm bản khai thác được phát hành.
Lỗ hổng nghiêm trọng, được theo dõi là CVE-2026-31431 và có tên CopyFail, là một sự leo thang đặc quyền cục bộ, một lớp lỗ hổng cho phép người dùng không có đặc quyền nâng cao bản thân lên quản trị viên.
CopyFail đặc biệt nghiêm trọng vì nó có thể bị khai thác bằng một đoạn mã khai thác duy nhất—được phát hành trong tiết lộ hôm thứ Tư—có thể hoạt động trên tất cả các bản phân phối dễ bị tấn công mà không cần sửa đổi.
Với điều đó, kẻ tấn công có thể, trong số những việc khác, hack các hệ thống nhiều người thuê, thoát ra khỏi các vùng chứa dựa trên Kubernetes hoặc các khung khác và tạo các yêu cầu kéo độc hại nhằm đưa mã khai thác thông qua các luồng công việc CI/CD.
Nhà nghiên cứu Jorijn Schrijvershof viết hôm thứ Năm: “‘Việc leo thang đặc quyền địa phương’ nghe có vẻ khô khan, vì vậy hãy để tôi giải thích nó”.
"Điều đó có nghĩa là: kẻ tấn công đã có cách nào đó để chạy mã trên máy, ngay cả khi là người dùng không có đặc quyền nhàm chán nhất, có thể tự nâng cấp lên root.
Từ đó, chúng có thể đọc mọi tệp, cài đặt cửa sau, xem mọi quy trình và chuyển sang các hệ thống khác." Schrijvershof nói thêm rằng cùng một tập lệnh Python mà Theori phát hành hoạt động đáng tin cậy cho Ubuntu 22.04, Amazon Linux 2023, SUSE 15.6 và Debian 12.
Nhà nghiên cứu tiếp tục: Tại sao điều đó lại quan trọng trên cơ sở hạ tầng dùng chung?
Bởi vì “cục bộ” bao gồm rất nhiều nền tảng vào năm 2026: mọi vùng chứa trên nút Kubernetes dùng chung, mọi đối tượng thuê trên hộp lưu trữ dùng chung, mọi tác vụ CI/CD chạy mã yêu cầu kéo không đáng tin cậy, mọi phiên bản WSL2 trên máy tính xách tay Windows, mọi tác nhân AI được đóng gói trong vùng chứa được cấp quyền truy cập shell.
Tất cả họ đều chia sẻ một nhân Linux với những người hàng xóm của họ. LPE kernel sẽ phá vỡ ranh giới đó.
Chuỗi mối đe dọa thực tế trông như thế này. MỘT Kẻ tấn công khai thác lỗ hổng plugin WordPress đã biết và lấy quyền truy cập shell dưới dạng dữ liệu www.
Họ chạy PoC copy.fail. Bây giờ họ đã root trên máy chủ.
Mọi người thuê nhà khác đều đột nhiên có thể truy cập được, theo cách tôi đã trình bày trong bản hack sau khi khám nghiệm tử thi này. Lỗ hổng không đưa kẻ tấn công vào hộp; nó thay đổi những gì xảy ra trong mười giây tiếp theo sau khi họ hạ cánh ở đó.
Lỗ hổng này bắt nguồn từ lỗ hổng logic “đường thẳng” trong API mật mã của kernel. Nhiều cách khai thác khai thác các điều kiện tương tranh và lỗi hỏng bộ nhớ không thành công liên tục trên các phiên bản hoặc bản phân phối kernel và đôi khi ngay cả trên cùng một máy.
Vì mã được phát hành cho CopyFail khai thác một lỗ hổng logic nên "độ tin cậy không phải là xác suất và cùng một tập lệnh hoạt động trên các bản phân phối, các nhà nghiên cứu từ Bugcrowd đã viết.
"Không có cửa sổ chạy đua, không có phần bù hạt nhân." CopyFail có tên này vì quy trình mẫu AEAAD xác thực (được sử dụng cho các số thứ tự mở rộng IPsec) không thực sự sao chép dữ liệu khi cần.
Thay vào đó, nó “sử dụng bộ đệm đích của người gọi làm bảng đệm, viết nguệch ngoạc 4 byte qua vùng đầu ra hợp pháp và không bao giờ khôi phục chúng,” Theori nói.
“‘Bản sao’ của byte AAD ESN 'không thể' ở trong bộ đệm đích." Các chuyên gia bảo mật khác lặp lại quan điểm rằng CopyFail gây ra một mối đe dọa nghiêm trọng, có người cho rằng đây là “lỗ hổng khiến tôi phải root tồi tệ nhất trong kernel trong thời gian gần đây”.
Lỗ hổng Linux gần đây nhất là Dirty Pipe từ năm 2022 và Dirty Cow vào năm 2016. Cả hai lỗ hổng này đều bị khai thác rộng rãi.
Các nhà phân phối Linux thường xuyên sử dụng các phiên bản kernel cũ hơn và sửa lỗi backport cho chúng. Không có dấu hiệu nào trong thời hạn tiết lộ cho thấy Theori đã từng liên hệ với các nhà phân phối.
Với việc khai thác có sẵn trước khi có bản phân phối cố định, việc tiết lộ tương đương với điều gì đó rất giống với lỗ hổng zero-day bị loại bỏ, mặc dù thuật ngữ cứng hơn có lẽ là “khoảng cách vá lỗi zero-day”.
Will Dormann, nhà phân tích cấp cao về lỗ hổng chính tại Tharros Labs, cho biết trong một cuộc phỏng vấn: “Tổ chức tiết lộ… đã thực hiện một công việc phối hợp cực kỳ tồi tệ trong việc điều phối lỗ hổng bảo mật”.
“Điều khiến tôi khó hiểu là trong bài viết của mình, cả hai đều: A) liệt kê 4 nhà cung cấp bị ảnh hưởng và B) yêu cầu người đọc áp dụng các bản vá của nhà cung cấp. Nhưng trước khi bắt đầu xuất bản, họ không buồn xem liệu BẤT KỲ điều gì trong số đó các nhà cung cấp mà họ liệt kê THỰC SỰ CÓ BẢN Vá.
(Không có gì cả).” Đại diện Theori không trả lời khi được yêu cầu bình luận. Các bản phân phối được biết là đã vá lỗ hổng này bao gồm Arch Linux và RedHat Fedora.
Những người được biết là đã đưa ra hướng dẫn giảm nhẹ tại thời điểm bài đăng này xuất hiện bao gồm: Những người đang tìm kiếm trạng thái của các bản phân phối khác nên kiểm tra với các nhà cung cấp tương ứng.
Theori cho biết họ đã phát hiện ra lỗ hổng này sau khi nhà nghiên cứu của họ, Taeyang Lee, phát hiện ra diện tích bề mặt trong hệ thống con mật mã (cụ thể là các trang bộ nhớ đệm trang splice() và nguồn gốc của trang danh sách phân tán) chưa được khám phá.
Bằng cách sử dụng công cụ bảo mật mã Xint được hỗ trợ bởi AI, các nhà nghiên cứu đã tìm ra lỗi sau khoảng một giờ quét. Công ty cho biết họ cũng đã phát triển một cách khai thác sử dụng CopyFail để thoát ra khỏi vùng chứa Kubernetes.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.