Kritična ranjivost Linux kernela omogućava eskalaciju privilegija u oblaku
Microsoft otkrivio kritičnu ranjivost Linux kernela CVE-2026-31431 koja omogućava obični korisnicima da postanu root - pogađa sve glavne distribucije i Kubernetes.
Šta se desilo?
Otkrivena je visoko ozbiljna ranjivost u Linux kernelu (CVE-2026-31431, poznata i kao "Copy Fail") koja omogućava običnim korisnicima da se eskaliraju do root pristupa. Ranjivost se nalazi u kriptografskom podsistemu kernela i pogađa praktično sve glavne Linux distribucije. Iako aktivna eksploatacija trenutno nije широко распространена, ranjivost je dodata na listu CISA-e poznatih eksploatisanih ranjivosti, što signalizira povećanu pretnju u narednim danima.
Koga pogađa?
Ranjivost pogađa sve organizacije koje koriste Linux sisteme, sa posebnom ozbiljnošću za cloud okruženja, Kubernetes klasteri i infrastrukturu sa deljenim resursima. Kritično su ugroženi:Ubuntu sistemi (uključujući 24.04 LTS), Amazon Linux 2023, Red Hat Enterprise Linux (RHEL 10.1), SUSE 16, Debian, Fedora i Arch Linux. Takođe je od najviše važnosti za containerizovane okoline gde napadači mogu izvršiti maliciozni kod i preći iz kontejnera na domaćina ili između više klijentskih okruženja.
Kako se zaštititi?
- Odmah proverite koju verziju Linux kernela koriste vaši sistemi - ranjive su verzije od 2017. godine do primene zakrpe
- Primenite ažuriranja kernela čim budu dostupna od strane proizvođača vaše distribucije
- U cloud okruženjima prioritizujte ažuriranje čvorova koji izvršavaju nasledjeni ili alatima dodatni kod
- Ograničite pristup SSH-u i CI/CD sistemima samo autorizovanim korisnicima
- Pratite aktivnost izvršavanja kodova iz potencijalno nepozdanih izvora u containerizovanim okruženjima
- Razmotrите primenu dodatnih zaštitnih mehanizama kao što su SELinux ili AppArmor
- Redovno pratite CISA savete i preporuke od Microsoft Defendera za najnovije informacije
Tehnički detalji
Ranjivost je usled greške u logici algif_aead modula AF_ALG interfejsa kernela koji nepravilno rukuje memorijom tokom in-place operacija. Napadač može koristiti AF_ALG socket interfejs i splice() sistemski poziv da izvrši kontrolisanu 4-bajtnu upisu u page cache kernela bilo koje čitljive datoteke. Time je moguće korumpovati memorijsku reprezentaciju privilegovanih binarnih datoteka kao što je /usr/bin/su bez izmene datoteke na disku. Eksploit je deterministički, ne zavisi od race uslova i može biti implementiran u mali skript od oko 732 bajta. Pošto je page cache deljen između kontejnera i domaćina, ranjivost omogućava i preskakanje granica između kontejnera.
Preporuka Sajber Radara
Treat CVE-2026-31431 kao prioritetnu pretnju i planometernо kresujtе ažuriranje svojih Linux sistema. Već sada preduzmite akcije za inventarisanje zavisnih sistema i pokrenite testiranje zakrpa u neprodukcionim okruženjima. S obzirom na determinističku prirodu eksploita i njegovu primenjivost u cloud okruženjima, odlaganje može rezultirati brzom kompromitacijom vitalnih infrastrukturnih komponenti.