Критична вразливість загрожує мільйонам систем Linux: ключі до захисту вашої

Виклик несправності Помилка копіювання Це вже дев’ять років надає root-доступ незліченній кількості машин з Linux! Розробники випускають екстрені патчі, але кожне пропущене перезавантаження залишає вразливість повністю відкритою. Пропустити цей патч — це як передати свій сервер будь-якому скриптовому малюку.

Уразливість, що має позначення CVE-2026-31431, впливає на ядра версій з 4.14 по 6.19.12: іншими словами, майже на всі системи, розгорнуті у виробничому середовищі. Проста експлуатація, стабільний рівень успішності, відсутність умов гонки… ідеальне поєднання для хакерів. Тому абсолютним пріоритетом залишається… оновлення безпосередній від ядра.

Не вдалося копіювати: a критична вразливість хто грає з пам’яттю

Атака захоплює інтерфейс AF_ALG та виклик splice() для перезапису чотирьох байтів у кеші сторінок ядра. Чотирьох крихітних байтів достатньо, щоб втрутитися в бінарний файл setuid, завантажений в оперативну пам’ять, та отримати root-права без попередження. Антивірусного захисту немає; проблема прихована всередині ядра: лише патч та перезавантаження можуть зупинити кровотечу.

Землетрус для Безпека Linux

На відміну від традиційних вразливостей пам’яті, Copy Fail не є випадковим: немає потреби повторно виконувати експлойт; достатньо одного правильно сформованого запиту. Як основні дистрибутиви, так і вбудовані середовища однаково вразливі, оскільки цільовий криптографічний модуль майже завжди компілюється за замовчуванням. Таким чином, міф про «невразливу» систему Linux був серйозно розвінчаний.

Виявити за тридцять секунд, чи уражена система

запустити: grep -qE '^algif_aead ' /proc/modules && echo 'модуль завантажено'Якщо з’являється повідомлення, ядро ​​​​під загрозою. Далі перевірте версію ядра: будь-яка версія до 6.19.13 залишається вразливою. Наявність модуля в поєднанні зі старим ядром є абсолютною надзвичайною ситуацією.

Встановіть патч, потім перезавантажте, і крапка!

Репозиторії Ubuntu, Fedora, Debian, Arch та SUSE вже розповсюджують виправлену версію. Завантажте, встановіть, перезавантажте, а потім знову виконайте попередню команду, щоб переконатися, що “algif_aead” більше не відображається у списку. Без перезавантаження старе ядро ​​продовжує працювати, а ескалація привілеїв залишається доступною.

Блокуйте експлойт, очікуючи на оновлення

Не вдається негайно перезавантажити? Вимкніть модуль: echo 'встановити algif_aead /bin/false' > /etc/modprobe.d/disable-algif.conf && rmmod algif_aeadОперація зупиняє атаку, але деякі криптосервіси постраждають: найкраще запланувати період технічного обслуговування якомога швидше. Занадто довго тримати цей обхідний шлях у дії — це як накладати пластир на артерію.

Зміцнити брандмауер І управління ключами

Виправлене ядро ​​не є абсолютним бар’єром. Увімкніть nftables для ізоляції адміністративних портів, забезпечення автентифікації за ключем FIDO2 та заборони доступу SSH, захищеного паролем. Кожен додатковий бар’єр ускладнює фази після експлуатації та зменшує поверхню для бічної атаки.

Назустріч а захист комп’ютера стійкий

З 2025 року більшість команд SecOps інтегрували зонди eBPF, які відстежують конфіденційні системні виклики; підключіть один із них та налаштуйте його для реєстрації splice() на AF_ALG. У поєднанні із SIEM сповіщення спрацьовує в режимі реального часу, якщо двійковий файл setuid перезаписується. Мета: перейти від реактивного до проактивного режиму. запобігання нападу.

Нарешті, додайте RSS-канал CERT-FR до свого агрегатора та ввімкніть сповіщення Discover для «ядра CVE Linux». Стрічка новин надсилає рекомендації щодо безпеки ще до того, як вони будуть опубліковані в соціальних мережах. Таким чином, поінформованість стає ключовою для… системи безпеки тривалий.

Джерело: www.zdnet.fr