- Το CVE-2026-31431 («Copy Fail») είναι ευπάθεια local privilege escalation στον Linux kernel με CVSS score 7.8, που επηρεάζει κάθε διανομή που χρησιμοποιεί kernel από το 2017 και μετά.
- Ένα δημόσιο proof-of-concept exploit — ένα Python script μόλις 732 bytes — αποδίδει root access αξιόπιστα και χωρίς race condition, αφήνοντας μηδέν ίχνη στον δίσκο.
- Η ευπάθεια αποκαλύφθηκε στις 29 Απριλίου 2026 και το CERT-EU ανέφερε ότι κατά την ημερομηνία της ανακοίνωσης καμία διανομή δεν είχε ακόμα ολοκληρώσει την κυκλοφορία του patched kernel.
Στις 29 Απριλίου 2026, ερευνητές της εταιρείας ασφάλειας Theori δημοσιοποίησαν μία ευπάθεια που έβαλε σε συναγερμό τη διαχειριστική κοινότητα του Linux παγκοσμίως. Το CVE-2026-31431, γνωστό και ως «Copy Fail», είναι μια ευπάθεια local privilege escalation (LPE) στον πυρήνα του Linux που επιτρέπει σε έναν απλό, χωρίς δικαιώματα χρήστη να αποκτήσει πλήρη πρόσβαση root στο σύστημα.
Τι ακριβώς κάνει το Copy Fail
Σύμφωνα με τους ερευνητές της Theori, το Copy Fail εκμεταλλεύεται ένα λογικό σφάλμα στο κρυπτογραφικό subsystem του kernel — συγκεκριμένα στο module algif_aead, την AEAD socket διεπαφή του userspace crypto API (AF_ALG). Η ευπάθεια επιτρέπει σε έναν απλό χρήστη να γράψει 4 controlled bytes στον page cache οποιουδήποτε αναγνώσιμου αρχείου στο σύστημα. Ο kernel διαβάζει τον page cache κατά τη φόρτωση ενός binary — άρα η τροποποίηση του cached αντιγράφου ισοδυναμεί με αλλαγή του binary για τους σκοπούς εκτέλεσης, χωρίς να ενεργοποιείται κανένας μηχανισμός προστασίας που βασίζεται σε file system events όπως το inotify.
Αυτό που κάνει την εκμετάλλευση ιδιαίτερα ανησυχητική: το proof-of-concept exploit είναι ένα Python script μόλις 10 γραμμών και 732 bytes, ικανό να τροποποιήσει ένα setuid binary και να αποκτήσει root σε σχεδόν κάθε Linux διανομή που κυκλοφόρησε από το 2017. Σε αντίθεση με προγενέστερες ευπάθειες όπως το Dirty Cow ή το Dirty Pipe, το Copy Fail δεν απαιτεί race condition — το exploit δουλεύει κάθε φορά, σε κάθε επηρεαζόμενο σύστημα, χωρίς τροποποίηση.
Αόρατο στα forensics
Ένα από τα πιο ανησυχητικά χαρακτηριστικά του Copy Fail είναι ότι η τροποποίηση υπάρχει μόνο στον page cache — το αρχείο στον δίσκο παραμένει αμετάβλητο. Η τυπική ανάλυση δίσκου δεν ανιχνεύει καμία αλλαγή. Επιπλέον, το script δεν αφήνει ίχνος στον δίσκο και δεν σηματοδοτεί εργαλεία παρακολούθησης αρχείων. Η εκκαθάριση της μνήμης μέσω επανεκκίνησης επαναφορτώνει το cache από το αυθεντικό αρχείο — χωρίς καμία ένδειξη ότι κάτι συνέβη.
Ποιες διανομές επηρεάζονται
Επηρεάζεται κάθε Linux διανομή που χρησιμοποιεί kernel ≥ 4.14, δηλαδή ουσιαστικά κάθε mainstream διανομή που κυκλοφόρησε από το 2017. Αυτό περιλαμβάνει Ubuntu, Amazon Linux, RHEL, SUSE, Debian, Arch Linux, Fedora, Rocky Linux, AlmaLinux, Oracle Linux, καθώς και embedded Linux διανομές. Η Theori ανέπτυξε επίσης exploit που χρησιμοποιεί το Copy Fail για να «δραπετεύσει» από Kubernetes containers — γεγονός που καθιστά την απειλή ακόμα πιο σοβαρή για cloud και multi-tenant υποδομές.
Το CERT-EU επισήμανε ότι τα περιβάλλοντα υψηλότερου κινδύνου είναι αυτά όπου πολλοί χρήστες ή workloads μοιράζονται έναν Linux kernel: cloud και multi-tenant συστήματα, container clusters και CI/CD pipelines που εκτελούν untrusted κώδικα. Μία ευπάθεια LPE σε επίπεδο kernel καταρρίπτει αυτά τα όρια απομόνωσης.
Πώς ανακαλύφθηκε — ο ρόλος του AI
Ο ερευνητής της Theori, Taeyang Lee, εντόπισε την ευπάθεια με τη βοήθεια του AI-powered εργαλείου ασφάλειας κώδικα Xint Code της εταιρείας. Μετά από περίπου μία ώρα σάρωσης στο κρυπτογραφικό subsystem του Linux kernel, το Xint Code επέστρεψε το Copy Fail ως την εύρεση υψηλότερης σοβαρότητας. Αξίζει να σημειωθεί ότι η ίδια σάρωση εντόπισε και άλλες ευπάθειες υψηλής σοβαρότητας, οι οποίες βρίσκονται ακόμα σε διαδικασία responsible disclosure.
Το εύρημα αυτό εντάσσεται σε μια ευρύτερη τάση: ο αριθμός αναφορών ευπαθειών έχει αυξηθεί απότομα τους τελευταίους μήνες χάρη σε AI-powered εργαλεία εύρεσης σφαλμάτων, σε βαθμό που το πρόγραμμα Internet Bug Bounty (IBB) ανέστειλε προσωρινά τα βραβεία έως ότου διαχειριστεί τον αυξημένο όγκο αναφορών.
Χρονολόγιο και κατάσταση patches
Το σφάλμα εισήχθη στον κώδικα το 2017 μέσω μιας βελτιστοποίησης στο algif_aead.c και παρέμεινε αδιάγνωστο για σχεδόν μία δεκαετία. Η Theori το αποκάλυψε ιδιωτικά στην ομάδα ασφάλειας του Linux kernel, η οποία ενσωμάτωσε την επιδιόρθωση στο mainline kernel στις 1 Απριλίου 2026. Το CVE-2026-31431 εκχωρήθηκε στις 22 Απριλίου, ενώ η πλήρης δημόσια αποκάλυψη έγινε στις 29 Απριλίου — μαζί με τον κώδικα του exploit. Κατά την ημερομηνία της ανακοίνωσης, καμία μεγάλη διανομή δεν είχε ακόμα αποστείλει ενημερωμένο kernel package, αν και διανομές όπως Debian, Ubuntu και SUSE άρχισαν να κυκλοφορούν updates. Η Ubuntu 26.04 (Resolute) και νεότεροι kernels δεν επηρεάζονται.
Άμεσα μέτρα μετριασμού
Μέχρι να εφαρμοστεί το patched kernel, το CERT-EU συνιστά την άμεση απενεργοποίηση του ευάλωτου module algif_aead με την εντολή:
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
Για Kubernetes workloads, εναλλακτικά μπορεί να εφαρμοστεί seccomp profile που μπλοκάρει το σχετικό syscall. Η εφαρμογή του επιδιορθωμένου kernel απαιτεί επανεκκίνηση — σε production clusters απαιτείται διαδικασία drain-and-reinstate ανά node.
Recommended Comments
There are no comments to display.
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now