CVE-2026-31431 Copy Fail

Krytyczna luka Copy Fail pozwalająca na eskalacji uprawnień w Linuksie.

Pod koniec kwietnia 2026 roku społeczność bezpieczeństwa IT obiegła informacja o jednej z najpoważniejszych luk bezpieczeństwa w jądrze Linuksa ostatnich lat. Pod oznaczeniem CVE-2026-31431, a pod nazwą „Copy Fail”, odkryto podatność umożliwiającą lokalną eskalację uprawnień do poziomu root praktycznie na wszystkich głównych dystrybucjach Linuksa wydanych od 2017 roku.

Luka jest szczególnie niebezpieczna, ponieważ:

• exploit działa niezwykle stabilnie,
• nie wymaga wyścigów (race condition),
• nie potrzebuje specyficznych offsetów kernela,
• umożliwia także ucieczkę z kontenerów (container escape),
• pozostawia minimalne ślady w systemie.

Czym jest „Copy Fail”?

„Copy Fail” to błąd logiczny w podsystemie kryptograficznym jądra Linuksa, związany z modułem algif_aead oraz interfejsem AF_ALG wykorzystywanym do operacji kryptograficznych w przestrzeni użytkownika.

Podatność pozwala nieuprzywilejowanemu użytkownikowi wykonać kontrolowany zapis 4 bajtów do pamięci podręcznej stron (page cache) dowolnego odczytywalnego pliku. W praktyce umożliwia to modyfikację binarek setuid, takich jak /usr/bin/su, bez zmiany danych na dysku.

Atak wykorzystuje kombinację:

• AF_ALG,
• splice(),
• błędu w obsłudze authencesn.

Dlaczego luka jest tak groźna?

Większość podatności typu LPE (Local Privilege Escalation) wymaga:

• specyficznej wersji kernela,
• odpowiednich offsetów pamięci,
• niestabilnych race condition,
• obejścia mechanizmów ochronnych.

„Copy Fail” eliminuje większość tych ograniczeń. Według badaczy exploit:

• działa identycznie na Ubuntu, RHEL, SUSE i Amazon Linux,
• mieści się w skrypcie Python o długości zaledwie 732 bajtów,
• nie wymaga rekompilacji,
• może działać w kontenerach Kubernetes i środowiskach CI/CD.

To sprawia, że podatność jest szczególnie niebezpieczna w środowiskach:

• multi-tenant,
• cloud computing,
• Kubernetes,
• GitHub Actions,
• GitLab Runner,
• Jenkins,
• platformach uruchamiających kod użytkowników.

Mechanizm działania

W uproszczeniu:

1. Atakujący uruchamia lokalny kod jako zwykły użytkownik.
2. Wykorzystuje wadliwe operacje kopiowania w AF_ALG.
3. Nadpisuje fragment page cache wybranego pliku wykonywalnego.
4. Uruchamia zmodyfikowaną binarkę setuid.
5. Uzyskuje uprawnienia root.

Kluczowy problem polega na tym, że modyfikacja zachodzi wyłącznie w pamięci. Kernel nie oznacza strony jako „dirty”, więc:

• zmiana nie trafia na dysk,
• klasyczne systemy integralności plików mogą niczego nie wykryć,
• po restarcie ślady znikają.

To przypomina wcześniejszą podatność „Dirty Pipe”, ale eksperci wskazują, że „Copy Fail” jest bardziej niezawodny i prostszy w użyciu.

Kogo dotyczy problem?

Podatność obejmuje praktycznie wszystkie główne dystrybucje Linuksa korzystające z jąder od 2017 roku, m.in.:

• Ubuntu,
• Debian,
• RHEL,
• Rocky Linux,
• AlmaLinux,
• SUSE,
• Amazon Linux,
• Fedora,
• Arch Linux.

Najbardziej zagrożone są:

• współdzielone serwery,
• hosty kontenerowe,
• klastry Kubernetes,
• systemy CI/CD,
• środowiska chmurowe wykonujące nieufny kod użytkownika.

Publiczny exploit i aktywne wykorzystanie

Sytuację pogorszył szybki wyciek działającego Proof of Concept. Publiczny exploit pojawił się w sieci mniej niż 24 godziny po ujawnieniu podatności.

Amerykańska agencja CISA dodała CVE-2026-31431 do katalogu KEV (Known Exploited Vulnerabilities), co oznacza potwierdzone wykorzystanie w rzeczywistych atakach.

Jak się zabezpieczyć?

Najważniejsze działania:

• natychmiastowa aktualizacja kernela,
• restart systemów po patchowaniu,
• ograniczenie dostępu lokalnych użytkowników,
• ograniczenie uruchamiania nieufnego kodu,
• monitorowanie środowisk kontenerowych,
• wyłączenie podatnych modułów kryptograficznych jako tymczasowa mitigacja.

Według dostępnych informacji poprawki trafiły już do nowych wersji kernela:

• 6.19.12,
• 6.18.22,
• 6.12.85,
• 6.6.137,
• 6.1.170,
• 5.15.204,
• 5.10.254 oraz nowszych.

Znaczenie dla cyberbezpieczeństwa

„Copy Fail” pokazuje kilka istotnych trendów:

1. nawet dojrzałe komponenty kernela mogą zawierać krytyczne błędy przez wiele lat,
2. środowiska kontenerowe nie gwarantują pełnej izolacji,
3. AI zaczyna raczkować w odkrywaniu podatności.

Badacze z firmy Theori wskazali, że luka została odnaleziona przy wsparciu narzędzi AI analizujących podsystem kryptograficzny jądra Linuksa. Warto jednak podkreślić że człowiek wskazał AI gdzie ma szukać błędu. To istotne rozróżnienie.

Podsumowanie

CVE-2026-31431 „Copy Fail” to jedna z najpoważniejszych luk Linuksa ostatnich lat. Choć wymaga lokalnego dostępu do systemu, jej:

• niezawodność,
• prostota,
• możliwość ucieczki z kontenerów,
• brak śladów na dysku

powodują, że stanowi bardzo wysokie ryzyko dla nowoczesnych środowisk chmurowych i infrastruktury DevOps.

Dla administratorów oznacza to konieczność szybkiego patchowania systemów i przeglądu modeli bezpieczeństwa opartych wyłącznie na izolacji kontenerowej.

Wiele kontrowersji też wzbudziła tym że były plotki o tym że podatność została odkryta przez AI, jednakże pojawia się nowy trend podatności “AI-assisted”, gdzie człowiek robi większość roboty a AI sprawdza to co człowiekowi by zajeło bardzo dużo czasu (race-condition). Jak podaje autor, AI zostało skierowane przez człowieka (Taeyang Lee z Xint) gdzie ma szukać błędu.