Критическая уязвимость CopyFail затрагивает все версии Linux с 2017 года — активно эксплуатируется хакерами

732-байтный Python-скрипт даёт root-доступ без гонки состояний, без следов на диске и без детектирования

Уязвимость нашли с помощью ИИ — и это меняет представления о стоимости поиска уязвимостей

Дедлайн для федеральных агентств США — 15 мая. Патчи для RHEL пока не вышли

Серьёзная уязвимость, затрагивающая практически все версии Linux, застала защитников врасплох: после публикации работающего эксплоита многие организации в спешке устанавливают исправления. Но самое тревожное — не сам баг. Тревожно, как его нашли.

CopyFail CVE-2026-31431 — уязвимость Linux ядра: локальное повышение привилегий до root, все дистрибутивы с 2017 года Image Credits: Lukas / Unsplash

Что произошло и когда

29 апреля 2026 года команда Xint Code (Theori) публично раскрыла уязвимость CVE-2026-31431, получившую имя «CopyFail». Правительство США подтвердило, что баг уже эксплуатируется в реальных условиях. CISA добавила его в каталог Known Exploited Vulnerabilities и обязала все гражданские федеральные агентства закрыть уязвимость к 15 мая.

Техническая суть: девятилетний баг из трёх невинных решений

CVE-2026-31431 возник из цепочки трёх технически обоснованных изменений ядра, принятых в разные годы: добавление authencesn (AEAD-обёртки для IPsec) в 2011-м, поддержка AF_ALG AEAD-сокетов в 2015-м, и оптимизация in-place в algif_aead.c в 2017-м. По отдельности — всё разумно. Вместе — девять лет скрытой уязвимости.

Суть бага: логическая ошибка в криптографическом шаблоне authencesn позволяет непривилегированному пользователю выполнить детерминированную запись 4 контролируемых байт в страничный кэш любого читаемого файла системы. Это позволяет модифицировать setuid-бинарник в памяти — и получить root. Не взламывая ничего, не устанавливая дополнительного ПО — просто через легитимный системный вызов.

Почему этот эксплоит особенный

CopyFail выделяется на фоне других Linux LPE-уязвимостей сразу несколькими свойствами:

  • 📦 Эксплоит — 732 байта на Python. Размер меньше, чем большинство конфигурационных файлов;
  • Работает с первого раза — без гонки состояний (в отличие от Dirty Cow и Dirty Pipe), которую нужно «поймать». Тот же скрипт срабатывает стабильно на разных машинах без правок;
  • 👻 Невидим для защитных инструментов — эксплоит работает в оперативной памяти и не изменяет файлов на диске. Не детектируется инструментами мониторинга целостности файлов. Не оставляет криминалистических следов;
  • 🌍 Универсальность: работает на Ubuntu, RHEL, Amazon Linux, SUSE, Debian, Fedora, Rocky Linux и всех других дистрибутивах, собранных с ядром начиная с 2017 года;
  • 🐋 Container escape: в контейнерных окружениях уязвимость может использоваться для побега из контейнера. Миллионы Kubernetes-кластеров потенциально затронуты.

Как это нашли — и почему это страшнее, чем сам баг

По данным Bugcrowd, ИИ-система обнаружила эту уязвимость примерно за один час. Уязвимость класса «универсальный LPE без гонки состояний, кросс-платформенный» раньше на брокерских площадках стоила $500 000 и выше. Сегодня её нашли с помощью ИИ за час работы.

«Навыковая кривая для использования серьёзного инструмента поиска уязвимостей начинает выглядеть как навыковая кривая для чтения его вывода», — пишет исследователь безопасности. Другими словами: тот, кто раньше не мог найти такой баг, теперь может — просто используя ИИ-помощник.

Кто затронут, кто уже защищён

  • Ubuntu 26.04 (Resolute) и более поздние — не затронуты;
  • Debian, Ubuntu (более ранние), AlmaLinux, SUSE, Fedora, CloudLinux — патчи уже выпущены;
  • Red Hat Enterprise Linux (RHEL) — патча пока нет; пользователям рекомендованы временные меры;
  • Amazon Linux 2023 — в процессе;
  • ⚠️ RHEL-семейство (CentOS, Rocky, AlmaLinux): стандартный обходной путь с отключением algif_aead через modprobe.d **не работает** на RHEL-семействе, поскольку модуль встроен в ядро. Ко манды выполняются без ошибок, но не дают защиты — ложное ощущение безопасности.

Временные меры (пока нет патча)

Если обновить ядро прямо сейчас невозможно, CERT-EU и AlmaLinux рекомендуют:

  • На системах без встроенного модуля: добавить в /etc/modprobe.d/ строку install algif_aead /bin/false и выполнить rmmod algif_aead;
  • На RHEL-семействе: заблокировать создание AF_ALG-сокетов через seccomp-профиль для недоверенных процессов;
  • Запустить lsof | grep AF_ALG, чтобы оценить, какие приложения используют уязвимый модуль;
  • Активировать auditd для отслеживания попыток эксплуатации до момента патча.

Масштаб риска

Успешная компрометация сервера в дата-центре позволяет злоумышленнику получить доступ ко всем приложениям, серверам и базам данных корпоративных клиентов, а также потенциально проникнуть в другие системы той же сети. Уя звимость нельзя эксплуатировать напрямую через интернет — но в комбинации с любым Remote Code Execution (RCE) в непривилегированном сервисе, SSH-фут-холдом или вредоносным PR в CI-раннере она мгновенно даёт root на хосте.

Linux используется примерно на 96,3% из 1 миллиона крупнейших веб-серверов в мире, а также на подавляющем большинстве серверов дата-центров, в которых работают AI-кластеры, облачные сервисы и финансовая инфраструктура. Масштаб потенциально затронутых систем измеряется сотнями миллионов ⚠️.