En allvarlig säkerhetsrisk som påverkar nästan alla versioner av Linux-operativsystemet har fångat försvarare på oväntade sätt och försökt åtgärda det efter att säkerhetsforskare publicerat exploateringskod som gav angripare fullständig kontroll över sårbara system.
Den amerikanska regeringen säger att buggen, kallad ”CopyFail”, för närvarande utnyttjas och används aktivt i skadliga hackningsoperationer.
Felet, officiellt spårat som CVE-2026-31431, upptäcktes i Linux-kärnversioner 7.0 och tidigare, avslöjades för Linux-kärnsäkerhetsteamet i slutet av mars och korrigerades ungefär en vecka senare. Men många Linux-distributioner som förlitar sig på sårbara kärnor är ännu inte helt korrigerade, vilket gör att system som kör påverkade Linux-versioner riskerar att äventyra.
Linux används flitigt i företagsmiljöer och kör de datorer som driver många av världens datacenter.
CopyFail-webbplatsen anger att samma korta Python-skript ”rotar vilken Linux-distribution som helst som har skickats sedan 2017.” Enligt Theori, säkerhetsföretaget som upptäckte CopyFail, hittades sårbarheten i flera utbredda versioner av Linux, inklusive Red Hat Enterprise Linux 10.1, Ubuntu 24.04 (LTS), Amazon Linux 2023 och SUSE 16.
DevOps-ingenjören och utvecklaren Jorijn Schrijvershof skrev i ett blogginlägg att exploateringen fungerar på Debian- och Fedora-versioner, såväl som Kubernetes, som är beroende av Linux-kärnan. Schrijvershof förklarade att buggen fungerar på ”nästan alla moderna distributioner” av Linux, vilket ger den en ”ovanligt stor explosionsradie.”
Buggen kallas ”CopyFail” eftersom den drabbade komponenten i Linux-kärnan, kärnan i operativsystemet som har praktiskt taget fullständig tillgång till hela enheten, inte kopierar viss data när den ska. Detta korrumperar känslig data i kärnan och tillåter en angripare att piggyback på kärnans åtkomst till resten av systemet, inklusive kärnans data.
Denna bugg är särskilt problematisk eftersom den tillåter normala användare med begränsad åtkomst att få full administrativ åtkomst på berörda Linux-system. En framgångsrik kompromiss av en server i ett datacenter kan ge en angripare tillgång till alla applikationer, servrar och databaser för ett stort antal företagskunder och potentiellt få tillgång till andra system på samma nätverk eller datacenter.
Även om CopyFail-felet inte kan utnyttjas ensamt över Internet, kan det beväpnas när det används i kombination med utnyttjande som fungerar över Internet. Enligt Microsoft, om CopyFail-buggen är kedjad med en annan sårbarhet distribuerad över Internet, kan en angripare använda felet för att få root-åtkomst till en påverkad server. Användare som använder Linux-datorer med sårbara kärnor kan också luras att öppna skadliga länkar eller bilagor som utlöser sårbarheter.
Denna bugg kan också injiceras genom en supply chain attack. I den här attacken hackar en illvillig angripare in på en utvecklares konto med öppen källkod och injicerar skadlig kod i koden, vilket äventyrar ett stort antal enheter samtidigt.
Med tanke på riskerna för federala företagsnätverk har den amerikanska cybersäkerhetsbyrån CISA beordrat alla civila federala myndigheter att korrigera drabbade system senast den 15 maj.
Om du köper via länkar i våra artiklar kan vi tjäna en liten provision. Detta påverkar inte det redaktionella oberoendet.
