Copy Fail: Lỗ hổng CVE-2026-31431 cho phép leo thang đặc quyền root trên mọi bản phân phối Linux

Copy Fail: Lỗ hổng CVE-2026-31431 cho phép leo thang đặc quyền root trên mọi bản phân phối Linux

Một lỗ hổng bảo mật nghiêm trọng mới được đặt tên là "Copy Fail" (CVE-2026-31431) đã được phát hiện, ảnh hưởng đến hầu hết các bản phân phối Linux hiện nay. Điểm đáng sợ của lỗi này là cùng một mã khai thác (exploit) có thể hoạt động nguyên bản trên nhiều hệ điều hành khác nhau mà không cần sửa đổi, cho phép kẻ tấn công leo thang đặc quyền từ tài khoản người dùng thường lên quyền root một cách dễ dàng.

Minh họa khai thác lỗ hổng

Phạm vi ảnh hưởng rộng lớn

Lỗ hổng này ảnh hưởng đến các nhân Linux được biên dịch từ năm 2017 cho đến khi bản vá được phát hành. Về cơ bản, điều này bao gồm hầu hết mọi bản phân phối Linux chính thống hiện đang hoạt động.

Copy Fail chỉ yêu cầu một tài khoản người dùng cục bộ không có đặc quyền (unprivileged local user). Kẻ tấn công không cần quyền truy cập mạng, không cần tính năng gỡ lỗi kernel hay các điều kiện tiên quyết phức tạp nào khác. Nguyên nhân là do API mật mã của kernel (AF_ALG) thường được bật theo mặc định trong cấu hình của hầu hết các bản distro, mở ra cửa sổ tấn công trong suốt giai đoạn từ năm 2017 đến nay.

Các hệ thống đã được xác nhận bị ảnh hưởng bao gồm nhiều bản phân phối phổ biến, cũng như các hệ thống nhúng khác nhau. Bất kỳ bản phân phối nào chạy nhân bị ảnh hưởng đều có nguy cơ gặp phải hành vi tương tự.

Các môi trường bị đe dọa

Do bản chất của lỗi này liên quan đến việc chia sẻ bộ nhớ đệm trang (page cache) giữa các tiến trình, nó đặc biệt nguy hiểm trong các môi trường đa người dùng hoặc ảo hóa:

• Máy chủ dùng chung: Các hộp phát triển chia sẻ (shared dev boxes), dịch vụ shell-as-a-service, jump hosts và máy chủ xây dựng (build servers) nơi nhiều người dùng chia sẻ cùng một kernel.
• Môi trường Container: Một pod với các nguyên ngữ (primitives) phù hợp có thể xâm phạm được node chủ và vượt qua ranh giới giữa các khách hàng (tenant). Bộ nhớ cache trang được chia sẻ trên toàn bộ máy chủ.
• CI/CD: Các runner tự host của GitHub Actions, runner của GitLab, agent của Jenkins — bất cứ thứ gì thực thi mã không đáng tin cậy từ PR dưới dạng người dùng thường trên một kernel chia sẻ.
• Môi trường đám mây: Máy chủ lưu trữ sổ tay, agent sandbox, hàm không máy chủ (serverless functions) hoặc bất kỳ container/kịch bản do khách hàng cung cấp nào.

Môi trường container và CI/CD chịu rủi ro cao

Cơ chế và Giải pháp khắc phục

Lỗ hổng này nằm trong tối ưu hóa tại chỗ (in-place optimization) của algif_aead được giới thiệu vào năm 2017. Tối ưu hóa này cho phép các trang bộ nhớ cache trang kết thúc trong danh sách phân tán (scatterlist) có thể ghi được, tạo ra điều kiện leo thang đặc quyền.

Khắc phục tức thời

1. Cập nhật Kernel: Hãy cập nhật gói kernel của bản phân phối của bạn lên phiên bản bao gồm commit mainline a664bf3d603d. Bản vá này hoàn tác tối ưu hóa algif_aead năm 2017. Hầu hết các bản phân phối lớn đang tung ra bản sửa lỗi này.
2. Vô hiệu hóa module: Nếu chưa thể cập nhật, hãy vô hiệu hóa module algif_aead. Đối với phần lớn các hệ thống, việc này không gây ra sự cố đo lường được nào.
3. Chặn AF_ALG: Đối với các khối lượng công việc không đáng tin cậy (container, sandbox, CI), hãy chặn việc tạo socket AF_ALG thông qua seccomp bất kể trạng thái vá lỗi.

Người phát hiện

Lỗ hổng này được tìm thấy bởi Xint Code sau khoảng một giờ quét trên hệ thống con mật mã (crypto/) của Linux. Xint Code cũng là đội ngũ đã lọt vào vòng chung kết của AI Cyber Challenge do Bộ Quốc phòng Mỹ (DARPA) tổ chức và là đội chiến thắng nhiều nhất trong lịch sử DEF CON CTF.

PoC (Khái niệm chứng minh) đã được công khai để các nhà bảo vệ có thể xác minh hệ thống của riêng mình và xác thực các bản vá của nhà cung cấp. Công cụ này chỉ sử dụng thư viện chuẩn của Python 3.10+ và nhắm mục tiêu mặc định vào /usr/bin/su.