Важной новостью прошлой недели стало обнародование данных об опасной уязвимости в ядре Linux, получившей название Copy Fail ( мини-сайт, новость на Хабре), которая открывает относительно простой способ локального повышения привилегий. Авторы оригинального исследования не стесняются рекламировать ИИ-ассистент для анализа кодовой базы, который нашел данную проблему в течение часа. Возможности автоматизированных средств поиска уязвимостей явно расширились, и в ближайшем будущем стоит ожидать еще больше подобных неприятных открытий. Исследователи «Лаборатории Касперского» провели анализ уязвимости и предложили варианты обнаружения атак с ее использованием.
Уязвимость получила идентификатор CVE-2026-31431 и рейтинг 7,8 балла по шкале CVSS. Ошибка была внесена в код модуля ядра algif_aead еще в 2017 году: тогда была внедрена поддержка оптимизаций in-place при работе системы шифрования AEAD. Это, в свою очередь, привело к дефекту обработки буферов, что дало потенциальному атакующему возможность контролируемо изменять содержимое кэша любого файла, доступного для чтения.
Опубликованный первооткрывателями эксплойт записывает четыре контролируемых байта в кэш исполняемого файла, то есть код программы изменяется непосредственно в оперативной памяти, и при следующем ее запуске она выполняет вредоносные действия с правами суперпользователя. Уязвимость имеет две ключевые особенности: с одной стороны, эксплуатировать ее крайне просто, с другой — для повышения привилегий требуется локальный доступ к системе. Соответственно, особую важность новая уязвимость имеет для контейнерных сред. Так, по умолчанию технологии Docker, LXC и Kubernetes предоставляют процессам внутри контейнера доступ к уязвимой подсистеме AF_ALG, если упомянутый ранее модуль algif_aead загружен в ядре хоста. В этом случае Copy Fail делает возможным побег из виртуального окружения.
Специалисты «Лаборатории Касперского» приводят варианты обнаружения деятельности оригинального эксплойта на Python. Характерным признаком его работы является цепочка процессов Python — Shell — и далее запуск привилегированного исполняемого файла. В принципе, любой метод эксплуатации уязвимости может быть обнаружен через подозрительные операции чтения бинарных файлов с suid-битом, таких как su, sudo, newgrp, passwd, gpasswd, chfn, mount, umount, fusermount, fusermount3, chsh и подобные. Данные об уязвимости были переданы разработчикам ядра Linux еще в марте этого года, а патчи (по сути, устраняющие «оптимизацию» 2017 года) были выпущены 1 апреля. Если обновить ядро по каким-то причинам невозможно, рекомендуется заблокировать загрузку модуля algif_aead.
В начале апреля компания Anthropic использовала поиск уязвимостей в ПО для демонстрации возможностей своей новой ИИ-модели Claude Mythos. Если ранее языковые модели либо находили несуществующие проблемы в коде, либо испытывали сложности с применением найденных ошибок в реалистичных атаках, то теперь, судя по всему, можно говорить о серьезном прогрессе в эффективности такого метода поиска уязвимостей. Уязвимость в Linux — еще один пример качественной работы ИИ-ассистента: по данным авторов исследования, проблема Copy Fail была обнаружена всего за час сканирования подсистемы crypto. Последствием такого прогресса в ближайшем будущем может стать большое количество «неприятных сюрпризов» в виде ранее необнаруженных проблем в критически важном программном обеспечении.
Что еще произошло
В двух новых публикациях эксперты «Лаборатории Касперского» изучают атаки группировки Silver Fox с использованием нового бэкдора ABCDoor на организации в России и Индии, а также разбирают метод использования сервиса Amazon SES для рассылки фишинговых сообщений.
Критическая уязвимость обнаружена в средстве управления серверами cPanel. Проблема получила идентификатор CVE-2026-41940 и близкий к максимальному рейтинг опасности 9,8 балла из 10 по шкале CVSS. Эксплуатируемая на момент обнаружения уязвимость позволяет обойти систему аутентификации и получить полный контроль над панелью управления.
Популярный плагин для WordPress, известный под именем Quick Page/Post Redirect (70 тысяч установок), много лет содержал бэкдор. В код плагина примерно в 2020–2021 годах был добавлен механизм обновления со стороннего ресурса, который позволял загружать и выполнять на сервере произвольный код.
Продолжаются инциденты с компрометацией популярных NPM-пакетов: были взломаны официальные репозитории SAP, пакеты Lightning и elementary-data.
Закрыта уязвимость в GitHub, позволявшая получить неправомерный доступ к приватным репозиториям.
