Linux内核高危漏洞"CopyFail"遭攻击者积极利用

美国网络安全和基础设施安全局（CISA）发出警告，一个被称为"CopyFail"的Linux内核新漏洞已遭到在野利用，而这距研究人员公开一个可用的root级漏洞利用代码仅过了数天。

该漏洞被追踪编号为CVE-2026-31431，存在于Linux内核中，允许低权限用户通过篡改本应只读的数据来获取系统完全控制权，从而在未打补丁的机器上将有限访问权限提升至完整的root权限。

该漏洞由网络安全咨询公司Theori披露，据其介绍，漏洞是通过其AI驱动的渗透测试平台Xint发现的，并已于3月23日向Linux内核安全团队报告。各主流Linux发行版在公开披露前已陆续推送补丁，Theori随后公布了漏洞详情及概念验证（PoC）利用代码。

这段基于Python编写的利用代码可成功攻击Ubuntu 24.04 LTS、Amazon Linux 2023、RHEL 10.1和SUSE 16，但研究人员同时警告，所有自2017年以来构建的主流Linux内核均存在被利用的风险。

Theori表示："同一个脚本，四个发行版，四个root shell，一气呵成。同一个利用二进制文件无需修改即可在每个Linux发行版上运行。"

如此高度的通用性引发了广泛关注。CISA已将该漏洞纳入其已知被利用漏洞目录，并要求联邦民事行政机构在两周内完成修补，截止日期定为5月15日。

微软方面支持CISA的调查结论，并表示在PoC发布后已观察到相关活动迹象。微软警告称："鉴于一个完整可用的漏洞利用PoC已公开，加之各方正在抢时间修补系统，Microsoft Defender已检测到初步测试活动，这很可能在未来数天内演变为威胁行为者更大规模的利用行动。"

该漏洞的攻击机制解释了为何各方反应如此紧迫。此次攻击属于本地攻击，所需权限极低，且无需任何用户交互，因此任何已在存在漏洞的系统上取得立足点的攻击者都可以尝试利用。这类漏洞能够迅速将小规模入侵转变为对系统的全面控制。

据悉，该漏洞源于内核处理某些加密操作的方式，开辟了一条以非预期方式篡改缓存数据的路径。随着可靠的利用代码已在网络上流传，这一设计缺陷实际上已演变成一种通用的权限提升手段。

Q&A

Q1：CopyFail漏洞是什么？会造成什么危害？

A：CopyFail漏洞编号为CVE-2026-31431，存在于Linux内核中。攻击者利用该漏洞，可以通过篡改本应只读的数据，将低权限用户的访问权限提升至完整的root权限，从而获得对系统的完全控制。由于攻击无需用户交互、所需初始权限极低，危害性极大。

Q2：哪些Linux系统受到CopyFail漏洞影响？

A：根据研究人员的测试，Ubuntu 24.04 LTS、Amazon Linux 2023、RHEL 10.1和SUSE 16均受影响，且同一利用代码无需修改即可在这些系统上运行。更值得警惕的是，所有自2017年以来构建的主流Linux内核均在潜在利用范围之内。

Q3：针对CopyFail漏洞，目前应该如何应对？

A：CISA已将该漏洞列入已知被利用漏洞目录，并要求相关机构在2025年5月15日前完成修补。各主流Linux发行版已在漏洞公开披露前推送了补丁，建议用户和系统管理员尽快将系统更新至最新版本，以防止遭受攻击。