CopyFail, o vulnerabilitate recent descoperită, reprezintă o amenințare majoră pentru serverele multi-tenant, fluxurile de lucru CI/CD, containerele Kubernetes și multe alte sisteme. Codul de exploatare, care a fost publicat recent și care permite accesul root pe aproape toate versiunile de Linux, a declanșat alarme în rândul specialiștilor în securitate, care acum se grăbesc să prevină compromiteri grave în centrele de date și pe dispozitivele personale.
Vulnerabilitatea și codul care o exploatează au fost publicate miercuri seara de cercetătorii de la firma de securitate Theori, la cinci săptămâni după ce aceștia au raportat problema în mod privat echipei de securitate a kernelului Linux. Echipa a remediat vulnerabilitatea în versiunile (7.0, 6.19.12, 6.18.12, 6.12.85, 6.6.137, 6.1.170, 5.15.204 și 5.10.254), dar puține dintre distribuțiile Linux au integrat aceste corecții la momentul publicării exploitului.
Defectul critic, cunoscut sub numele de CVE-2026-31431 și denumit CopyFail, este o escaladare de privilegii locală, o clasă de vulnerabilități care permite utilizatorilor neprivilegiați să devină administratori. CopyFail este deosebit de gravă deoarece poate fi exploatată cu un singur cod de exploit – publicat în dezvăluirea de miercuri – care funcționează pe toate distribuțiile vulnerabile fără modificări. Prin aceasta, un atacator poate, printre altele, să spargă sisteme multi-tenant, să evadeze din containere bazate pe Kubernetes sau alte cadre și să creeze cereri de tragere (pull requests) rău intenționate care transmit codul de exploit prin fluxurile de lucru CI/CD.
„’Escaladarea de privilegii locală’ pare un termen tehnic sec, așa că haideți să îl explicăm,” a scris cercetătorul Jorijn Schrijvershof joi. „Înseamnă că un atacator care are deja o modalitate de a rula cod pe mașină, chiar și ca cel mai neinteresant utilizator neprivilegiat, se poate promova la root. De acolo, poate citi orice fișier, instala backdoors, supraveghea fiecare proces și poate migra către alte sisteme.”
Schrijvershof a adăugat că același script Python lansat de Theori funcționează fiabil pentru Ubuntu 22.04, Amazon Linux 2023, SUSE 15.6 și Debian 12. Cercetătorul a continuat:
De ce este important acest lucru pe infrastructura partajată? Pentru că „local” acoperă mult teren în 2026: fiecare container pe un nod Kubernetes partajat, fiecare client pe o cutie de găzduire partajată, fiecare job CI/CD care rulează cod din cereri de tragere neîncredințate, fiecare instanță WSL2 pe un laptop Windows, fiecare agent AI containerizat cu acces la shell. Toți împărtășesc un singur kernel Linux cu vecinii lor. O LPE de kernel prăbușește această barieră.
Lanțul realist de amenințări arată astfel: un atacator exploatează o vulnerabilitate cunoscută a unui plugin WordPress și obține acces la shell ca www-data. Ei rulează copy.fail PoC. Acum sunt root pe gazdă. Fiecare alt client devine brusc accesibil, așa cum am descris în această post-mortem de hack.
Vulnerabilitatea provine dintr-o eroare de logică „linie-dreaptă” în API-ul cripto al kernelului. Multe exploituri care exploatează condiții de întrecere și defecte de corupție a memoriei nu reușesc consecvent peste
Sursa: Ars Tehnica Technology
Poll: Care este strategia ta de urgență pentru a preveni compromiteri grave pe serverele multi-tenant și sistemele Kubernetes ca urmare a vulnerabilității CopyFail?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply