CVE-2026-31431 в Linux: угроза повышения root

Введение

Microsoft опубликовала новые рекомендации по CVE-2026-31431, также известной как Copy Fail — уязвимости Linux kernel высокой степени опасности, которая может позволить локальному непривилегированному пользователю получить доступ root. Для IT- и security-команд, использующих Linux в cloud, CI/CD и Kubernetes-средах, это приоритетная проблема, поскольку одна точка входа может привести к компрометации host.

Что нового

CVE-2026-31431 — это уязвимость local privilege escalation в криптографической подсистеме Linux kernel, а именно в модуле algif_aead в AF_ALG userspace crypto API.

Ключевые детали от Microsoft:

• Затрагивает многие основные дистрибутивы Linux, включая Ubuntu, Red Hat, SUSE, Amazon Linux, Debian, Fedora и Arch
• Влияет на kernel, выпущенные с 2017 года и позже, до установки исправленных версий
• Имеет оценку CVSS 7.8 (High)
• Требует только локального выполнения кода от имени непривилегированного пользователя
• Может использоваться для повреждения page cache для читаемых файлов, включая setuid binaries
• Может привести к container escape, multi-tenant compromise и lateral movement

Microsoft отмечает, что, хотя масштабная эксплуатация в реальных атаках пока ограничена, рабочий proof of concept уже доступен публично, и ранняя тестовая активность уже наблюдалась. Уязвимость также была добавлена в каталог CISA Known Exploited Vulnerabilities, что повышает срочность реагирования для защитников.

Почему это важно для администраторов

Эта уязвимость особенно важна в средах, где может выполняться недоверенный код:

• Kubernetes clusters
• Shared Linux hosts
• CI/CD runners
• Containerized workloads
• Multi-tenant cloud infrastructure

Поскольку containers используют общий kernel host-системы, эксплуатация изнутри одного container потенциально может затронуть весь node. Поэтому любой RCE в container или shell с низкими привилегиями становится гораздо более серьёзной проблемой, чем обычно.

Рекомендуемые действия

Командам безопасности и инфраструктуры следует в приоритетном порядке выполнить следующие шаги:

1. Проведите инвентаризацию затронутых Linux-систем на серверах, в cloud workloads, containers и Kubernetes nodes.
2. Немедленно установите обновления от вендоров, как только они станут доступны.
3. Если исправления пока недоступны, применяйте временные меры снижения риска, например:
   • Блокировку или отключение создания AF_ALG sockets
   • Ужесточение контроля локального доступа
   • Применение network isolation, где это уместно
4. Проверьте логи и telemetry обнаружения на признаки эксплуатации или подозрительной активности local privilege escalation.
5. Рассматривайте любую компрометацию container как потенциальную компрометацию host и учитывайте необходимость быстрой замены node после выявления индикаторов атаки.

Следующие шаги

Организациям, использующим Microsoft Defender XDR, следует изучить доступные механизмы обнаружения и рекомендации по threat hunting от Microsoft. Учитывая масштаб потенциального воздействия и доступность exploit code, администраторам Linux и cloud-сред следует немедленно заняться этой уязвимостью в рамках экстренного патчинга и процедур готовности к инцидентам.