Sigurnosna ranjivost koja ugrožava gotovo svaku postojeću verziju Linux operativnog sistema iznenadila je stručnjake za zaštitu, koji su morali hitno da zakrpaju sisteme nakon što su istraživači javno objavili kod koji napadačima daje potpunu kontrolu nad ranjivim uređajima.

Vlada SAD potvrdila je da se ovaj propust, poznat pod nazivom “CopyFail”, već koristi u stvarnim napadima, što znači da je postao dio aktivnih hakerskih kampanja.

Propust, službeno označen kao CVE-2026-31431, otkriven je u Linux kernelu verzije 7.0 i starijim. Bezbednosni tim Linux kernela dobio je prijavu krajem marta, a zakrpa je objavljena nakon otprilike sedmicu dana. Ipak, zakrpe još uvijek nisu stigle do svih Linux distribucija koje koriste ranjivi kernel, što svaki sistem sa pogođenom verzijom ostavlja izloženim riziku od kompromitovanja.

Linux se u velikoj mjeri koristi u korporativnim okruženjima, gdje pokreće računare koji opslužuju većinu svjetskih data centara.

Na web-stranici posvećenoj CopyFail propustu navodi se da ista kratka Python skripta “dobija root pristup na svakoj Linux distribuciji isporučenoj od 2017. godine”. Prema informacijama sigurnosne kompanije Theori, koja je otkrila CopyFail, ranjivost je potvrđena u nekoliko široko korišćenih Linux verzija, uključujući Red Hat Enterprise Linux 10.1, Ubuntu 24.04 (LTS), Amazon Linux 2023, kao i SUSE 16.

Bag je dobio ime “CopyFail” jer pogođena komponenta u Linux kernelu – jezgru operativnog sistema koje ima praktično potpun pristup cijelom uređaju – ne kopira određene podatke kada bi to trebalo da uradi. Ovo dovodi do korupcije osjetljivih podataka unutar kernela, omogućavajući napadaču da iskoristi pristup koji kernel ima prema ostatku sistema i podacima.

Ukoliko se iskoristi, ovaj propust je posebno opasan jer omogućava običnom korisniku s ograničenim pravima da dobije puna administratorska ovlašćenja (root) na pogođenom sistemu. Uspješno kompromitovanje jednog servera u data centru moglo bi napadaču dati pristup svakoj aplikaciji, serveru i bazi podataka brojnih korporativnih klijenata, kao i potencijalni pristup drugim sistemima u istoj mreži.

Sam po sebi, CopyFail se ne može iskoristiti direktno preko interneta, ali može postati smrtonosno oružje ako se kombinuje s drugim propustom koji djeluje putem mreže. Prema podacima kompanije Microsoft, ako se CopyFail poveže s drugom ranjivošću koja se isporučuje preko interneta, napadač bi mogao dobiti root pristup pogođenom serveru. također, korisnik Linux računara s ranjivim kernelom mogao bi biti prevaren da otvori zlonamjerni link ili prilog koji aktivira ovu ranjivost.

Propust bi također mogao biti ubačen putem napada na lanac snabdevanja (supply chain attacks), gdje hakeri upadaju na nalog programera otvorenog koda i podmeću zlonamjerni softver u njihov kod kako bi odjednom kompromitovali veliki broj uređaja.

S obzirom na rizik po federalnu mrežu, američka agencija za sajber-sigurnost CISA naredila je svim civilnim saveznim agencijama da zakrpe pogođene sisteme najkasnije do 15. maja.