Copy-fail-destroyer: Giải pháp khắc phục tự động lỗ hổng CVE-2026-31431 trên Kubernetes

Copy-fail-destroyer: Giải pháp khắc phục tự động lỗ hổng CVE-2026-31431 trên Kubernetes

Lỗ hổng CVE-2026-31431, còn được gọi là "Copy Fail", là một lỗi logic nghiêm trọng trong mô-đun algif_aead của nhân Linux. Lỗi này cho phép kẻ tấn công không có đặc quyền thực hiện ghi vào bộ nhớ đệm trang (page-cache) thông qua giao diện socket AF_ALG. Để giúp các quản trị viên hệ thống đối phó với rủi ro này một cách tự động, dự án mã nguồn mở copy-fail-destroyer đã được ra mắt như một công cụ bảo vệ thiết yếu cho các cụm Kubernetes.

Cơ chế hoạt động

Copy-fail-destroyer được triển khai dưới dạng một Kubernetes DaemonSet, đảm bảo rằng một phiên bản của tác nhân sẽ chạy trên mỗi node trong cụm. Mỗi 5 phút, tác nhân sẽ thực hiện một vòng lặp kiểm tra với các nhiệm vụ sau:

• Kiểm tra phiên bản nhân Linux so với tất cả các nhánh ổn định (stable branches) đã được vá lỗi.
• Thăm dò mô-đun AF_ALG bằng cách cố gắng tạo và liên kết một socket AF_ALG đến thuật toán aead hoặc authenc(hmac(sha256),cbc(aes)) — chính là thuật toán mà khai thác này nhắm tới. Quá trình này được thiết kế để an toàn và không gây phá hủy dữ liệu.
• Thực hiện khắc phục dựa trên chế độ đã cấu hình trong biến môi trường REMEDIATION_MODE.
• Cung cấp các chỉ số Prometheus để người dùng có thể thiết lập cảnh báo và theo dõi trạng thái trên toàn bộ hệ thống.

Các chế độ khắc phục

Công cụ hỗ trợ ba chế độ hoạt động chính để linh hoạt trong việc xử lý lỗ hổng:

• unload (mặc định): Gỡ bỏ mô-đun nhân algif_aead bằng lệnh delete_module.
• blacklist: Gỡ bỏ mô-đun và ghi một quy tắc danh sách đen (blacklist) vào modprobe để ngăn chặn việc tải lại tự động mô-đun này.
• disabled: Chỉ phát hiện và báo cáo trạng thái, không thực hiện bất kỳ hành động khắc phục nào.

Giám sát và Triển khai

Để tăng cường tính khả quan, copy-fail-destroyer hiển thị các chỉ số giám sát trên cổng :9100/metrics. Các chỉ số quan trọng bao gồm trạng thái kernel cần vá, mức độ dễ bị tổn thương, khả năng tiếp cận mô-đun và trạng thái áp dụng biện pháp khắc phục.

Về mặt triển khai, dự án cung cấp hỗ trợ đa dạng cho các quy trình DevOps hiện đại:

• Helm & ArgoCD: Hỗ trợ cài đặt qua Helm chart và tệp manifest ArgoCD để tích hợp vào quy trình GitOps.
• Prometheus Operator: Có thể triển khai PodMonitor để tự động thu thập chỉ số và PrometheusRule để thiết lập các cảnh báo (alert) với mức độ nghiêm trọng khác nhau (critical/warning).
• CI/CD: Sử dụng GitHub Actions để tự động xây dựng, kiểm thử và đẩy hình ảnh container cũng như Helm chart lên registry khi có thẻ phiên bản mới.

Với copy-fail-destroyer, các đội ngũ vận hành Kubernetes có một lớp bảo vệ chủ động giúp giảm thiểu rủi ro từ lỗ hổng nhân Linux mà không cần can thiệp thủ công trên từng node.