安全界已連續數日關注此事。 複製失敗,漏洞 CVE-2026-31431 該漏洞影響 Linux 內核,允許沒有權限的本機用戶在幾秒鐘內獲得 root 權限。該漏洞自 2017 年以來一直未被發現,如今已引起歐洲企業、雲端服務供應商和公共管理機構的嚴重擔憂,這些機構幾乎所有業務都依賴 Linux。
網路安全團隊最擔心的不僅是技術影響,而是多種因素的綜合作用: 一個微小的漏洞、一個高度可靠的邏輯缺陷,以及一個特別難以檢測的缺陷在每天都要運行第三方程式碼的環境中——從西班牙的共享伺服器到歐洲大型雲端中的 Kubernetes 叢集——Copy Fail 一夜之間成為了絕對優先事項。
什麼是複製失敗漏洞(CVE-2026-31431)?它是如何被發現的?
複製失敗是一個 Linux 核心中的本機權限提升 (LPE) 漏洞該漏洞已被追蹤為 CVE-2026-31431。它允許任何有權限在機器上執行程式碼的使用者(普通帳戶、Docker 容器內的進程或 CI 作業)將其權限提升到易受攻擊系統的 root 權限。
該裁決於2026年4月下旬由多個研究團隊發布。 Xint 代碼和理論他們用 Python 編寫了一個僅 732 位元組的概念驗證程序,該程式能夠利用加密子系統中的邏輯缺陷。這個只有幾行程式碼的小腳本依賴… AF_ALG 套接字和 splice() 呼叫 破壞敏感二進位檔案的頁面緩存,從而觸發權限提升。
根據技術分析,這個問題自 2017 年以來就一直隱藏在幾乎所有主流 Linux 核心版本中。近九年來, 儘管進行了持續的審計和程式碼審查,但該漏洞仍未被發現。這引發了一場關於如何在核心密碼學等敏感元件中審查效能優化的深入辯論。
其中一個特別引人注目的細節是人工智慧的作用:自動程式碼分析工具,例如 Xint Code, 一直是發現漏洞的關鍵 透過檢測受影響模組中的異常行為模式。許多專家承認,如果沒有這些解決方案,手動查找故障將非常困難。
問題的根源在於:加密模組 algif_aead
Copy Fail 的核心是 Linux 核心的加密子系統更具體地說,是指可透過 AF_ALG 套接字從使用者空間存取的 algif_aead 介面。此介面允許沒有特殊權限的應用程式使用內核加密函數進行 AEAD 加密和身份驗證操作。
該漏洞源於 2017 年引入的一項優化——在多份分析報告中,該優化被提及為 algif_aead 中的一個「就地」改進提交—— 無意中破壞了模組的安全防護措施這項變更旨在透過重複使用輸入和輸出緩衝區來提高效能,但卻為頁面快取中的越界寫入開啟了方便之門。
此漏洞體現在加密模板中 身份驗證結合了 HMAC-SHA256 和 AES-CBC。在某些 AEAD 操作期間,一部分用於輸出的記憶體被用作臨時工作區,由於該錯誤,4 個位元組被寫入預期區域之外,即係統檔案快取的頁面上。
這種微小的、可控的損壞,只有四個字節,竟然足以造成嚴重後果。 使用位元 setuid 操作二進位記憶體 例如 /usr/bin/su、sudo 或類似的實用程式。磁碟上的檔案不會被修改,但頁面快取中的副本會被修改,核心在程式啟動時執行的正是這個副本。
記憶體複製,磁碟完好無損:為什麼這麼難偵測?
這種漏洞之所以特別敏感,其中一個原因是: 它只會更改記憶體中的檔案版本。Linux 使用頁面快取來加快文件存取速度:它不會總是從磁碟讀取文件,而是將文件副本保存在 RAM 中,從而加快提示速度。
Copy Fail 利用此機制,透過 algif_aead 中的錯誤進行修改。 攻擊者選取了二進位檔案快取頁中的 4 個特定位元組。關鍵在於核心不會將該頁面標記為“髒頁”,因此它永遠不會將更改寫回磁碟。從檔案系統的角度來看,一切都保持原始狀態。
這會產生幾個實際後果:一方面, 基於檔案哈希值的完整性檢查未偵測到任何異常情況。因為磁碟上的物理內容並沒有改變。另一方面,攻擊痕跡是易逝的:重啟或某些記憶體壓力迫使檔案從磁碟重新載入,就會消除先前所有損壞的痕跡。
此外,該漏洞利用程式使用了完全合法的系統呼叫(帶有 AF_ALG 的套接字、splice、執行 /usr/bin/su 等),因此 它的行為模擬了正常的核心流量。即使是先進的 EDR 解決方案,除非應用非常具體的規則,否則也可能難以區分 AF_ALG 的合法使用和攻擊嘗試。
如何利用 Copy Fail 漏洞:AF_ALG、splice 和一個小腳本
研究人員已經證明,這足以 一個大約 732 位元組的 Python 腳本 在實際條件下利用此漏洞。簡而言之,該過程遵循一個相對簡單但非常有效的步驟。
首先,該漏洞利用程式會開啟一個 AF_ALG 套接字配置為 AEAD 模式 目標是易受攻擊的身份驗證模板。然後,準備一個與目標 setuid 二進位檔案(例如 /usr/bin/su)的快取頁關聯的描述符,並使用 splice() 呼叫將該快取頁連接到核心將用作加密操作目標的緩衝區。
在加密/認證操作期間,由於 2017 年引入的漏洞,內核程式碼會執行 在緩衝區預期範圍之外寫入 4 位元組。攻擊者控制了輸入資料和請求參數,因此他們可以決定寫入什麼值以及在快取頁面中的偏移量是多少。
重複此模式多次,可以調整漏洞利用方式。 記憶體中二進位檔案的關鍵指令 (例如,透過將密碼檢查例程替換為啟動特權 shell 的序列。)當攻擊者執行修改後的二進位時,核心會從快取副本而不是磁碟中提取文件,從而獲得真正的 root shell。
需要注意的重要一點是 複製失敗本身並不會打開通往網路的大門。總是需要一些先決條件才能執行本地程式碼:網站漏洞、帳戶被盜用、容器權限受限、CI/CD 腳本保護不力等等。但研究人員表示,一旦克服了這第一步,在傳統環境中,使用 Copy Fail 提升到 root 權限是非常可靠的。
受影響的系統和分銷管道:對歐洲和商業環境的影響
迄今發表的分析結果一致認為: 自 2017 年以來分發的幾乎所有 Linux 內核 啟用了 algif_aead 和 AF_ALG 功能的系統都受此漏洞影響。這涵蓋了西班牙和歐洲其他地區使用的絕大多數發行版,包括伺服器、工作站和雲端環境。
提到的系統包括: Ubuntu、Debian、SUSE、Red Hat Enterprise Linux (RHEL)、Amazon Linux 以及 WSL2 中使用的各種建置版本Ubuntu LTS 分支(16.04、18.04、20.04、22.04 及更高版本)已經收到或正在收到更新,但一些不受支援的版本(例如 18.04 的某些核心)將不再有官方補丁,並且始終處於危險狀態。
以 Debian 為例,安全追蹤器顯示: 使用特定 5.x 和 6.x 核心的 Bullseye、Bookworm 和 Trixie 版本已經或正在受到影響。Amazon Linux 2 和 Amazon Linux 2023 被廣泛用於 EC2 執行個體和 EKS 節點,也被列為易受攻擊的版本,在各個分支(5.4、5.10、5.15、6.12、6.18)中都有待修復或最近發布的修補程式。
對於託管關鍵基礎設施的歐洲機構——營運商、銀行、公共部門或大型託管服務提供者——而言,這意味著: 數千台伺服器需要緊急更新核心。僅僅查看通用版本號是不夠的:許多發行版都會應用自己的向後移植和補丁,因此查看每個提供者的官方安全公告至關重要。
該漏洞已被歸類為… CVSS評分7,8分(滿分10分)屬於「高危險」類別。雖然它並非遠端零日漏洞,無法直接從外部控制系統,但它能夠將有限的本地存取權轉化為絕對控制權,因此在實踐中,對現代基礎設施構成非常嚴重的威脅。
為什麼複製失敗在雲、容器和 CI/CD 中如此危險
在單用戶家用電腦上,複製失敗的風險乍看之下似乎是可以控制的。 真正的問題出現在多租戶架構和環境中,在這些環境中,第三方程式碼會被定期執行。這種情況在大規模遷移到雲端的西班牙和歐洲公司中非常普遍。
例如,在 Kubernetes 叢集中,攻擊者如果設法在權限較低的 Pod 中執行程式碼,就可以利用 Copy Fail 來攻擊目標。 打破容器隔離並擴展到主機節點 如果底層核心沒有打補丁,那麼一旦核心出現問題,只需將一系列操作串聯起來,就能攻破其他 Pod 甚至整個叢集。
同樣的事情也發生在 CI/CD 運行器(GitHub Actions、GitLab、Jenkins、內部系統) 這些程式會編譯來自多個專案的程式碼或執行第三方測試。管道中的缺陷或惡意程式碼庫可能成為發動攻擊並控制執行這些作業的主機的入口點。
在西班牙和歐洲市場上廣泛使用的 VPS 和共享主機提供者中,客戶可以存取一台看似獨立的機器。 您可以使用 Copy Fail 跳到託管多個虛擬機器或容器的實體系統。從而打破了顧客之間的隔閡。
這一切都解釋了為什麼該漏洞給雲端服務供應商、資料中心和維運團隊帶來如此大的壓力: 這不僅是保護一台特定的機器,而是要維護支撐整個商業模式的隔離邊界。.
補丁狀態和分發回應
結構解決方案包括 將核心更新到包含複製失敗補丁的版本。在官方 Linux 樹中,關鍵變更撤銷了 algif_aead 的問題最佳化,並加強了受影響的加密操作中的緩衝區管理。
各大分銷公司的反應速度不一。 Debian、Ubuntu 和 SUSE 發布安全性更新的速度都很快。此次漏洞影響範圍涵蓋穩定版和長期支援版(LTS)。一些特定的軟體包——例如Ubuntu中某些IBM優化的核心——被標記為“不受影響”,因為它們不包含存在漏洞的程式碼。
就紅帽公司而言,最初的反應較為謹慎,計劃在向所有分支發布補丁之前評估其影響。然而,面對社區壓力和公開的概念驗證, 該公司最終加快了更新的發布速度。 對他們的商業產品而言,他們深知 RHEL 在歐洲企業體系中的重要性。
亞馬遜Linux方面,一直在逐步更新其核心。 EC2 執行個體與 EKS 節點即便如此,西班牙和其他歐洲國家的許多管理員仍然必須手動檢查每台伺服器正在使用的 AMI 和內核分支,因為並非所有鏡像的更新速度都相同。
在維護較舊、不受支援的版本的環境中,例如一些小型服務提供者或遺留基礎設施中仍然存在的 Ubuntu 16.04 或 18.04 安裝,情況就更加複雜了: 在許多情況下,這些系統將無法獲得補丁。因此,繼續永久使用它們將使您面臨複製失敗和其他近期出現的漏洞的風險。
臨時緩解措施:如果您現在無法更新該怎麼辦
儘管總體建議很明確——盡快修補核心並重啟——但在實踐中 並非所有機構都能同時關閉關鍵服務。針對這些情況,研究人員提出了幾種可以顯著減少攻擊面的臨時緩解策略。
第一個由 使用 modprobe 將 algif_aead 模組列入黑名單透過添加適當的規則,可以防止模組自動加載,甚至可以使用 rmmod 等命令從正在運行的核心中卸載該模組,前提是沒有活動依賴項阻止它。
另一個更穩健的選擇是,推薦用於不穩定的工作負載或高風險環境。 阻止建立 AF_ALG 套接字 透過 seccomp 策略或 AppArmor 或 SELinux 等存取控制系統。此措施堵住了利用 Copy Fail 漏洞的主要途徑,但可能會影響依賴內核加密子系統的合法應用程式。
一些安防供應商和設備提供者也建議 審查並減少帶有 setuid 位元的二進位檔案數量 系統中存在此類漏洞。雖然這並不能完全消除漏洞,但減少潛在目標的數量會增加攻擊者的難度,並限製成功利用漏洞的影響。
在 Ubuntu 環境中,已經發布了使用 profix 等工具的範例。 檢查每個系統的 CVE 狀態 這樣一來,管理員就能更輕鬆地套用臨時緩解措施。但是,這些解決方案應該被視為臨時補丁:最終目標仍然是更新到修復後的核心。
如何偵測攻擊企圖:稽核、SIEM 和 EDR
除了打補丁之外,許多組織還想知道是否有人嘗試或成功地利用了他們系統上的 Copy Fail 漏洞。 由於這種攻擊在磁碟上幾乎不留下任何明顯的痕跡。檢測主要基於系統層面可疑行為模式的監控。
其中一個反覆出現的建議是進行配置 auditd 規則用於監控非特權使用者對 splice() 和 AF_ALG 的使用情況例如,當 splice 呼叫操作與 setuid 二進位檔案(如 su、sudo、passwd、gpasswd、newgrp、chfn、chsh、mount 或 fusermount3)關聯的檔案描述符時,如果這些呼叫源自 Python 等解釋器且位於非典型路徑上,則記錄這些呼叫。
建議進行監測。 使用 AF_ALG 網域建立套接字 (十進位值 26)由互動式使用者 UID(通常大於或等於 1000)在不希望標準使用者應用程式大量使用核心加密 API 的系統上發起。
EDR解決方案和SIEM平台正開始整合 複製失敗的具體規則例如 possible_lpe_by_python 或 possible_copy_fail_cve_2026_31431。這些規則通常關聯幾個事件:讀取 setuid 二進位檔案、使用 splice、建立 AF_ALG 套接字,以及隨後以提升的權限啟動 shell。
對於擁有複雜基礎設施的組織——例如銀行、能源和公共部門——將這些入侵指標整合到其集中式監控系統中至關重要。雖然這並不能保證偵測到所有入侵企圖, 顯著提高發現正在進行的漏洞或未經授權的內部測試的可能性.
從其他核心漏洞中學到的教訓:髒寫漏洞、髒管道漏洞等等
Copy Fail 並非 Linux 核心中第一個權限提升漏洞。在過去十年中,諸如 Copy Fail 之類的漏洞層出不窮。 「髒牛」(CVE-2016-5195)或「髒管道」(CVE-2022-0847)它還利用頁面快取和核心內部機制來修改理論上只讀的資料。
差別在於,Dirty COW 和 Dirty Pipe 更著重於 任意寫入磁碟或管道中的文件Copy Fail 幾乎只作用於記憶體中的副本,而不會更改實體內容。對於攻擊者而言,這在隱蔽性方面具有巨大優勢,因為傳統的取證分析工具嚴重依賴檔案系統的狀態。
另一個有趣的方面是,CVE-2026-31431 符合許多專家一段時間以來一直指出的模式: 在未徹底評估安全隱患的情況下優化核心效能 這可能會造成非常嚴重的安全漏洞。一項旨在節省加密操作中 CPU 週期的更改,最終卻導致數百萬台伺服器面臨風險。
對於經營自有基礎設施或依賴雲端服務供應商的歐洲公司而言,教訓顯而易見: 核心維護不能被視為次要任務。因害怕「破壞生產環境」而延後更新,會累積技術債務,最終導致日益複雜的安全漏洞,造成損失。
此外,這次人工智慧在發現 Copy Fail 事件中的作用,暗示了另一種可能的未來: 如今用於定位漏洞的先進技術,也可以在防禦者發現漏洞之前就利用這些技術找到它們。因此,保持敏捷修補和持續監控的文化變得更加重要。
Copy Fail (CVE-2026-31431) 事件的一切都強化了一種觀點,而許多歐洲組織已經在迅速地接受這種觀點: 核心核心的一個邏輯缺陷可以在幾秒鐘內危及容器、共享伺服器和關鍵服務。對於任何管理 Linux 系統的團隊來說,從小型企業到大型雲端供應商,更新核心、停用不需要的易受攻擊模組、加強 AF_ALG 監控以及審查多租戶和 CI/CD 環境已成為一項緊迫的任務。