Схема атаки опасна отсутствием особых условий и мгновенным срабатыванием. Один скрипт действует скрытно для всех дистрибутивов. Атакующий может выйти из контейнеров Docker или Kubernetes на уровень сервера.
Разработчики Xint Code обнаружили уязвимость Copy Fail (CVE-2026-31431) в ядре Linux. Любой пользователь без привилегий получает root. Достаточно кода на Python размером 732 байта (требуется Python 3.10+).
Скрипт изменяет четыре байта в копии программы su в страничном кеше (Page Cache) — не на диске. Выполнение идёт с правами root. Это стало возможным благодаря трём особенностям Linux:
интерфейс
AF_ALGдля доступа к криптоалгоритмам ядра;функция
splice()для обращения к ядру из page cache любого файла;алгоритм
authencesn(IPsec), записывающий данные прямо в страницы кеша.
Уязвимость связана с тем, что ОС кеширует файлы в общей памяти (страничный кеш). Даже внутри контейнеров обращение идёт к одному кешу. Программа su — излюбленная цель хакеров.
Специалисты разработали патч, отменяющий оптимизацию Linux 2017 года. При установке фрагменты page cache перестают попадать в область памяти, доступную для записи.
Администраторам рекомендуется оперативно обновить ядро до последней версии. В качестве временного решения — отключить модуль algif_aead в интерфейсе AF_ALG.
0 комментариев