Kritična Linux kernelska ranjivost "Copy Fail" omogućava pristup root nalogatima
Linux kernel "Copy Fail" ranjivost omogućava root pristup na svim glavnim distribucijama od 2017. godine.
Šta se desilo?
Otkrivena je kritična zero-day ranjivost u Linux kernelu poznata kao "Copy Fail" (CVE-2026-31431) koja omogućava bilo kom lokalnom korisniku bez posebnih privilegija da stekne root pristup. Ranjivost postoji u AEAD kriptografskom šablonu kernela i može se dostići preko AF_ALG soketa kombinovano sa splice() sistemskim pozivom. Zahvaljujući minimalnom exploitu od svega 732 bajta napisanog u Pythonu-u, napad je moguć na svakoj verziji Linux distribucije izdatoj od 2017. godine.
Koga pogađa?
Sve glavne Linux distribucije su pogođene - Ubuntu, Amazon Linux, RHEL i SUSE, sa kernelskim verzijama od 4.14 nadalje. Ranjivost posebno ugrožava cloud okruženja i Kubernetes kontejnere jer omogućava lokalnu eskalaciju privilegija i beg iz kontejnera. Svaki sistem sa lokalno dostupnim korisnicima predstavlja potencijalni vektor napada.
Kako se zaštititi?
- Odmah ažurirajte Linux kernel preko distribucije - dostupne su zakrpe od aprila 2026. godine
- Ako update nije moguć, onemogućite algif_aead modul kernela dodavanjem "install algif_aead /bin/false" u /etc/modprobe.d/disable-algif-aead.conf
- Restartujte sistem ili uklonjte modul sa rmmod algif_aead da biste uklonili napadni vektor
- Redovno pratite bezbednosne preporuke od vašeg Linux distributera
- U cloud okruženjima, hitno ažurirajte sve host kernele i izvršite restart kontejnera
Tehnički detalji
Ranjivost je logička greška u algif_aead.c iz 2017. godine gde AEAD operacije omogućavaju pisanje direktno u page cache kernela. Napadač triggeruje kontrolisano pisanje od 4 bajta u page cache stranicu bilo koje datoteke koju može čitati, što korumpira in-memory verziju setuid binara kao /usr/bin/su. Pošto kernel nikad ne označava stranicu kao "dirty", on-disk datoteka ostaje nepromenjena i alatke za proveru integriteta je ne detektuju. Ranjivost je uvođena sa kernelom 4.14 i utiče na sve nepopravaljene linije do sadašnjosti. Istraživačka grupa Xint Code je pokazala da je exploit determinističan i radi na svim testiranim platformama i arhitekturama. Zakrpa vraća AEAD operacije na out-of-place pristup, trajno odvajajući TX i RX scatterlist strukture.
Preporuka Sajber Radara
Ovo je kritična ranjivost koja zahteva hitnu akciju - primenite kernel ažuriranja odmah na svim Linux sistemima. Za servere gde Update nije odmah moguć, onemogućite algif_aead modul kao privremena mera zaštite dok ne primenite sledeću dostupnu kernelsku verziju.