Exploitation active de la faille Linux « Copy Fail »

La vulnérabilité critique « Copy Fail », identifiée sous la référence CVE-2026-31431, fait l’objet d’une exploitation active. Cette faille réside dans l’interface de l’algorithme cryptographique algif_aead du noyau Linux. Elle permet à un utilisateur local non privilégié d’obtenir des privilèges “root” en manipulant le cache de pages de fichiers lisibles.

L’exploit, basé sur un script Python, est considéré comme extrêmement fiable et affecte la quasi-totalité des distributions Linux utilisant un noyau publié depuis 2017 (incluant notamment Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 et SUSE 16).

Points clés :

• Rapidité d’exploitation : La vulnérabilité est exploitée par des acteurs malveillants seulement 24 heures après la publication d’une preuve de concept (PoC) par les chercheurs de Theori.
• Risque élevé : La CISA a intégré cette faille à son catalogue des vulnérabilités connues exploitées (KEV), soulignant son importance critique pour la sécurité des infrastructures.
• Portée étendue : Le caractère universel de l’exploit rend la majorité des systèmes Linux maintenus depuis 2017 vulnérables.

Vulnérabilité :

• CVE-2026-31431 : Élévation de privilèges locale via l’interface algif_aead du noyau Linux.

Recommandations :

• Application des correctifs : Prioriser immédiatement l’installation des mises à jour du noyau fournies par les distributions Linux.
• Conformité : Pour les entités gouvernementales américaines, l’application du correctif est imposée avant le 15 mai, conformément à la directive BOD 22-01.
• Vigilance générale : Appliquer les mitigations recommandées par les éditeurs dès leur publication et surveiller les journaux système pour détecter d’éventuelles tentatives d’élévation de privilèges.

Source