CISA Adds Actively Exploited Linux Root Access Bug CVE-2026-31431 to KEV

Vulnérabilité critique “Copy Fail” : Escalade de privilèges sous Linux

La CISA a ajouté la faille CVE-2026-31431 (score CVSS 7.8) à son catalogue de vulnérabilités activement exploitées. Surnommée “Copy Fail”, cette vulnérabilité de type élévation de privilèges locale (LPE) affecte le noyau Linux et permet à un utilisateur non privilégié d’obtenir un accès root.

Points clés :

• Nature du défaut : Un bug logique dans le modèle cryptographique d’authentification du noyau Linux permet de corrompre le cache des pages en mémoire.
• Impact : L’attaque peut être exécutée sans interaction utilisateur par un compte à faibles privilèges. Elle est particulièrement dangereuse dans les environnements conteneurisés (Docker, Kubernetes), car elle permet de briser l’isolation des conteneurs pour compromettre l’hôte physique.
• Accessibilité : L’exploitation est jugée triviale grâce à un script Python léger (732 octets). Des variantes en Go et Rust circulent déjà. La détection est complexe car l’attaque utilise des appels système légitimes.
• Historique : Le défaut résulte de trois modifications distinctes introduites entre 2011 et 2017.

Vulnérabilité identifiée :

• CVE-2026-31431 : Faille d’escalade de privilèges locaux (Local Privilege Escalation) via une corruption du cache de pages du noyau.

Recommandations :

• Mise à jour immédiate : Appliquer les correctifs disponibles dans les versions du noyau Linux 6.18.22, 6.19.12 et 7.0 (ou les mises à jour fournies par votre distribution Linux).
• Date limite : Les agences fédérales américaines ont jusqu’au 15 mai 2026 pour corriger cette faille.
• Mesures palliatives : En cas d’impossibilité de mise à jour, désactiver la fonctionnalité vulnérable, renforcer l’isolation réseau et restreindre strictement les accès aux systèmes.

Source