「Copy Fail」と呼ばれるローカル権限昇格脆弱性のエクスプロイトが公開されました。この脆弱性は2017年以降にリリースされたLinuxカーネルに影響を与え、特権を持たないローカル攻撃者が管理者権限を獲得することを可能にします。
この脆弱性はCVE-2026-31431として追跡されており、攻撃的セキュリティ企業Theoriが約1時間Linuxの暗号サブシステムをスキャンした後、AI駆動型ペネトレーションテストプラットフォーム「Xint Code」を使用して発見しました。
Theoriは3月23日にLinuxカーネルセキュリティチームに報告し、パッチは1週間以内に利用可能になりました。この欠陥の技術詳細とプルーフ・オブ・コンセプトエクスプロイトは昨日公開されました。
サイバーセキュリティ企業は4つのLinuxディストロ(Ubuntu 24.04 LTS、Amazon Linux 2023、RHEL 10.1、SUSE 16)用の「100%確実な」Pythonベースのエクスプロイトを開発・テストしましたが、研究者は732バイトの「スクリプトが2017年以降にリリースされたすべてのLinuxディストロを管理者権限で実行することができる」と述べています。
Copy Fail根本原因
詳細なレポートで、研究者はCopy Fail(CVE-2026-31431)の問題は「Linuxカーネルの認証暗号化テンプレートの論理バグ」であり、認証されたユーザーが「システム上の読み取り可能なファイルのページキャッシュへの確実な4バイト書き込み」を実行できると述べています。
ユーザースペースからLinuxカーネル暗号関数へのアクセスを提供する「AF_ALG」ソケットベースインターフェースとsplice()システムコールを組み合わせることにより、特権を持たないユーザーは通常のバッファの代わりにファイルのページキャッシュに4バイト制御可能な書き込みを実行できます。
これらの4バイトがsetuid-rootバイナリに直撃した場合、実行時にその動作を変更でき、攻撃者に管理者権限を与えます。
この欠陥は2017年に導入されました。その時、Linuxカーネルチームは暗号パスに「インプレース」最適化を追加し、入力と出力を厳密に分離するのではなく、同じバッファを再利用し始めました。
影響と修正
Theoriの概念実証は、脆弱なLinuxカーネルバージョンで実行されるすべての主要Linuxディストロに管理者権限を与える、一貫して有効な732バイトのエクスプロイトであると研究者は述べています。
彼らはUbuntu 24.04、Amazon Linux 2023、RHEL 10.1、SUSE 16でCopy Failエクスプロイトをデモンストレーションして確認しました:
Mythosが発見したもののうち99%はまだパッチが適用されていません。
AIは4つのゼロデイを1つのエクスプロイトに結合し、レンダラーとOSの両方のサンドボックスをバイパスしました。新しいエクスプロイトの波が来ています。
Autonomous Validation Summit(5月12日と14日)で、自動化され、コンテキストに富んだ検証がどのように悪用可能なものを発見し、コントロールが機能することを証明し、修復ループを閉じるのかをご覧ください。
