CVE-2026-31431 Linux ranjivost objašnjena
Sažetak
Microsoft je objavio detalje o CVE-2026-31431, Linux local privilege escalation ranjivosti visokog nivoa ozbiljnosti koja može omogućiti root pristup na glavnim distribucijama i cloud-hosted workload-ima. Problem je važan jer pogađa okruženja sa deljenim kernelom, kao što su kontejneri i Kubernetes, čime se povećava rizik od container escape, lateral movement i kompromitacije hosta ako se sistemi brzo ne zakrpe.
Uvod
Microsoft je objavio nove smernice za CVE-2026-31431, poznat i kao Copy Fail, ranjivost Linux kernela visokog nivoa ozbiljnosti koja može omogućiti lokalnom neprivilegovanom korisniku da dobije root pristup. Za IT i security timove koji koriste Linux u cloud, CI/CD i Kubernetes okruženjima, ovo je prioritetan problem jer jedno početno uporište može dovesti do kompromitacije hosta.
Šta je novo
CVE-2026-31431 je local privilege escalation propust u kriptografskom podsistemu Linux kernela, tačnije u modulu algif_aead unutar AF_ALG userspace crypto API.
Ključni detalji koje navodi Microsoft:
- Pogađa mnoge glavne Linux distribucije, uključujući Ubuntu, Red Hat, SUSE, Amazon Linux, Debian, Fedora i Arch
- Utiče na kernele objavljene od 2017. godine nadalje dok se ne instaliraju zakrpljene verzije
- Ima CVSS ocenu 7.8 (High)
- Zahteva samo lokalno izvršavanje koda od strane neprivilegovanog korisnika
- Može se iskoristiti za korupciju page cache-a za čitljive fajlove, uključujući setuid binaries
- Može omogućiti container escape, multi-tenant compromise i lateral movement
Microsoft napominje da je široko rasprostranjena eksploatacija u stvarnom okruženju i dalje ograničena, ali da je javno dostupan funkcionalan proof of concept i da je već primećena rana aktivnost testiranja. Ranjivost je takođe dodata u CISA Known Exploited Vulnerabilities catalog, što dodatno povećava hitnost za branioce sistema.
Zašto je ovo važno za administratore
Ovaj propust je posebno važan u okruženjima u kojima može da se izvršava nepoverljiv kod:
- Kubernetes klasteri
- Deljeni Linux hostovi
- CI/CD runner-i
- Containerized workload-i
- Multi-tenant cloud infrastruktura
Pošto kontejneri dele kernel hosta, eksploatacija iz jednog kontejnera potencijalno može uticati na ceo čvor. To čini svaki container RCE ili low-privilege shell znatno ozbiljnijim nego inače.
Preporučene akcije
Security i infrastructure timovi treba da daju prioritet sledećim koracima:
- Napravite inventar pogođenih Linux sistema na serverima, cloud workload-ima, kontejnerima i Kubernetes čvorovima.
- Odmah primenite vendor zakrpe tamo gde su dostupne.
- Ako zakrpe još nisu dostupne, koristite privremene mere ublažavanja kao što su:
- Blokiranje ili onemogućavanje AF_ALG socket creation
- Pooštravanje local access controls
- Primena network isolation gde je to prikladno
- Pregledajte logove i detection telemetry radi znakova eksploatacije ili sumnjive local privilege escalation aktivnosti.
- Posmatrajte svaku kompromitaciju kontejnera kao moguću kompromitaciju hosta i razmotrite brzu zamenu čvorova nakon indikatora napada.
Sledeći koraci
Organizacije koje koriste Microsoft Defender XDR treba da pregledaju dostupne detections i hunting smernice koje je objavio Microsoft. Imajući u vidu široku izloženost i dostupnost exploit koda, ovo je ranjivost koju Linux i cloud administratori treba da reše odmah kao deo hitnih patching i incident readiness procedura.
Trebate pomoć sa Security?
Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.
Razgovarajte sa stručnjakomBudite u toku sa Microsoft tehnologijama