Krytyczna luka w zabezpieczeniach zagraża milionom systemów Linux: klucze do zabezpieczenia Twojego systemu

Usterka tzw Kopiowanie nie powiodło się To rozwiązanie zapewnia dostęp root do niezliczonych maszyn z Linuksem już od dziewięciu lat! Opiekunowie publikują poprawki awaryjne, ale każdy pominięty restart pozostawia lukę otwartą na oścież. Pominięcie tej poprawki to jak oddanie serwera w ręce jakiegoś scrypt kida.

Luka oznaczona jako CVE-2026-31431 dotyczy jąder od 4.14 do 6.19.12, czyli niemal wszystkich systemów wdrożonych w środowisku produkcyjnym. Prosta eksploatacja, stabilny wskaźnik sukcesu, brak sytuacji wyścigu… idealna kombinacja dla hakerów. Dlatego absolutnym priorytetem pozostaje… aktualizacja bezpośrednio od jądra.

Kopiowanie nie powiodło się: a krytyczna podatność który bawi się pamięcią

Atak przechwytuje interfejs AF_ALG i wywołanie splice(), aby nadpisać cztery bajty w pamięci podręcznej stron jądra. Cztery niewielkie bajty wystarczą, aby zmodyfikować plik binarny z identyfikatorem setuid załadowany do pamięci RAM i uzyskać uprawnienia roota bez ostrzeżenia. Nie ma ochrony antywirusowej; problem leży w jądrze: tylko łatka i ponowne uruchomienie mogą powstrzymać wyciek.

Trzęsienie ziemi dla Bezpieczeństwo Linuksa

W przeciwieństwie do tradycyjnych luk w pamięci, Copy Fail nie jest losowy: nie ma potrzeby wielokrotnego uruchamiania exploita; wystarczy jedno poprawnie sformatowane zapytanie. Zarówno dystrybucje głównego nurtu, jak i środowiska wbudowane są równie podatne na atak, ponieważ docelowy moduł kryptograficzny jest prawie zawsze domyślnie kompilowany. Mit o „niezniszczalnym” systemie Linux został zatem poważnie obalony.

Wykryj w trzydzieści sekund, czy system jest zagrożony

Uruchomić: grep -qE '^algif_aead ' /proc/modules && echo 'moduł załadowany'Jeśli pojawi się komunikat, rdzeń jest narażony. Następnie sprawdź wersję jądra: każda wersja starsza niż 6.19.13 nadal jest podatna na ataki. Obecność modułu w połączeniu ze starszą wersją jądra stanowi sytuację absolutnie awaryjną.

Zastosuj poprawkę, a następnie uruchom ponownie i kropka!

Repozytoria Ubuntu, Fedora, Debian, Arch i SUSE już dystrybuują poprawioną wersję. Pobierz, zainstaluj, zrestartuj komputer, a następnie ponownie uruchom poprzednie polecenie, aby upewnić się, że „algif_aead” nie jest już wymieniony. Bez restartu stare jądro będzie nadal działać, a eskalacja uprawnień pozostanie użyteczna.

Zablokuj exploit, czekając na aktualizacja

Nie możesz od razu uruchomić ponownie? Wyłącz moduł: echo 'install algif_aead /bin/false' > /etc/modprobe.d/disable-algif.conf && rmmod algif_aeadOperacja zatrzymuje atak, ale niektóre usługi kryptograficzne zostaną dotknięte: najlepiej zaplanować konserwację tak szybko, jak to możliwe. Zbyt długie stosowanie obejścia to jak przyklejanie plastra na tętnicę.

Wzmocnić zapora sieciowa I zarządzanie kluczami

Zaktualizowane jądro nie stanowi całkowitej bariery. Włącz nftables, aby odizolować porty administracyjne, wymusić uwierzytelnianie kluczem FIDO2 i zablokować dostęp SSH chroniony hasłem. Każda dodatkowa bariera komplikuje fazy poeksploatacyjne i zmniejsza powierzchnię ataku bocznego.

W stronę A ochrona komputera zrównoważony

Od 2025 roku większość zespołów SecOps zintegrowała sondy eBPF, które monitorują wrażliwe wywołania systemowe; podłącz jedną z nich i skonfiguruj ją tak, aby logowała splice() na AF_ALG. W połączeniu z systemem SIEM, alert jest aktywowany w czasie rzeczywistym w przypadku nadpisania pliku binarnego o identyfikatorze setuid. Cel: przejście od reaktywności do proaktywności. zapobieganie atakom.

Na koniec dodaj kanał RSS CERT-FR do swojego agregatora i włącz powiadomienia Discover dla „jądra Linux CVE”. Kanał informacyjny wyświetla ostrzeżenia dotyczące bezpieczeństwa jeszcze przed ich udostępnieniem w mediach społecznościowych. Bycie na bieżąco staje się zatem kluczowe dla… systemy zabezpieczające trwały.

Źródło: www.zdnet.fr