Copy Fail คือช่องโหว่ใน Linux ที่ทำให้เซิร์ฟเวอร์ คลาวด์ และคอนเทนเนอร์ตกอยู่ในความเสี่ยง

  • ช่องโหว่ Copy Fail (CVE-2026-31431) อนุญาตให้ผู้ใช้ภายในเครื่องที่ไม่ได้รับสิทธิ์พิเศษสามารถยกระดับสิทธิ์เป็น root ได้ในระบบปฏิบัติการ Linux รุ่นใหม่ๆ ส่วนใหญ่
  • ข้อบกพร่องนี้อยู่ที่ระบบย่อยการเข้ารหัสของเคอร์เนล (AF_ALG, algif_aead, authencesn) และทำให้แคชเพจเสียหายโดยไม่แก้ไขไฟล์บนดิสก์
  • สภาพแวดล้อมแบบผู้ใช้หลายคน คลาวด์สาธารณะ Kubernetes CI/CD และเซิร์ฟเวอร์ที่ใช้ร่วมกันในยุโรปมีความเสี่ยงเป็นพิเศษจนกว่าจะมีการติดตั้งแพทช์แก้ไข
  • มาตรการบรรเทาผลกระทบ ได้แก่ การอัปเดตเคอร์เนล การปิดใช้งาน algif_aead/AF_ALG ในกรณีที่ทำได้ และการเสริมความเข้มแข็งในการตรวจสอบความพยายามในการโจมตี
Isaac

นาทีที่ 14

ช่องโหว่การคัดลอกล้มเหลวใน Linux

ชุมชนของ ซอฟต์แวร์ฟรีและผู้ดูแลระบบลินุกซ์ ปัจจุบัน Linux กำลังเผชิญกับปัญหาที่ร้ายแรงกว่าแค่การอัปเดตที่ค้างอยู่ ช่องโหว่ Copy Fail ซึ่งได้รับการขึ้นทะเบียนเป็น CVE-2026-31431 ได้เปิดเผยช่องโหว่ในเคอร์เนลของ Linux ที่ไม่เคยมีใครสังเกตเห็นมานานหลายปี และอนุญาตให้ผู้ใช้ภายในเครื่องใดๆ ก็ตามที่ไม่มีสิทธิ์พิเศษสามารถควบคุมเครื่องได้อย่างสมบูรณ์

ผลกระทบนั้นกว้างไกลเกินกว่าแค่ในห้องปฏิบัติการทดสอบ: เซิร์ฟเวอร์ในศูนย์ข้อมูลของยุโรป คลัสเตอร์ Kubernetesแพลตฟอร์ม CI/CD และบริการคลาวด์ที่รันโค้ดของบุคคลที่สามกำลังตกเป็นเป้าสนใจ แม้ว่าช่องโหว่นี้จะไม่เปิดช่องทางเข้าถึงจากอินเทอร์เน็ตโดยตรง แต่ก็สามารถเปลี่ยนการบุกรุกเล็กๆ น้อยๆ ในเครื่องให้กลายเป็นการยกระดับสิทธิ์ไปสู่ระดับ root ได้อย่างน่าเชื่อถือและยากต่อการติดตาม

ช่องโหว่ Copy Fail (CVE-2026-31431) คืออะไร และทำไมจึงเป็นเรื่องที่น่ากังวล?

ช่องโหว่ด้านความปลอดภัย Copy Fail ใน Linux

Copy Fail คือ ช่องโหว่การยกระดับสิทธิ์ในระดับท้องถิ่น (LPE) ในเคอร์เนลของลินุกซ์ ในทางปฏิบัติแล้ว ช่องโหว่นี้ทำให้ผู้ใช้ที่มีบัญชีปกติ กระบวนการภายในคอนเทนเนอร์ หรืองาน CI ที่ไม่มีสิทธิ์ผู้ดูแลระบบ สามารถเรียกใช้โค้ดในฐานะผู้ใช้ root บนระบบที่มีช่องโหว่ได้

ปัญหาดังกล่าวได้รับการติดตามในชื่อ CVE-2026-31431 และส่งผลกระทบต่อ... ระบบย่อยการเข้ารหัสเคอร์เนลโดยเฉพาะอย่างยิ่ง ผู้โจมตีจะมุ่งเป้าไปที่อินเทอร์เฟซ AF_ALG และโมดูล algif_aead ร่วมกับการตรวจสอบสิทธิ์ด้วยเทมเพลตการเข้ารหัสลับ การผสมผสานนี้ทำให้ผู้โจมตีสามารถเขียนข้อมูลควบคุมขนาด 4 ไบต์ลงในแคชเพจของระบบได้ในที่สุด

สิ่งที่น่าทึ่งคือช่องโหว่นี้มีขนาดกะทัดเล็กมาก นักวิจัยหลายคน รวมทั้ง Xint Code และ Theori ได้เผยแพร่หลักฐานเชิงแนวคิดที่มีขนาดเพียงแค่นี้ ไม่กี่ร้อยไบต์ใน Python ซึ่งทำงานได้อย่างเสถียรในสภาพแวดล้อมทั่วไป โดยไม่จำเป็นต้องมีเงื่อนไขการแข่งขันที่แปลกประหลาดหรือการกำหนดค่าที่ซับซ้อน

ในยุโรปที่ซึ่ง ลินุกซ์ถูกใช้งานอย่างแพร่หลายในธนาคาร ผู้ให้บริการเครือข่าย และหน่วยงานภาครัฐ สำหรับผู้ให้บริการคลาวด์ ข้อเท็จจริงที่ว่าช่องโหว่ขนาดเล็กและเชื่อถือได้เช่นนี้สามารถใช้งานได้กับระบบปฏิบัติการหลายเวอร์ชัน ทำให้ความเสี่ยงเพิ่มสูงขึ้นจนต้องมีการตอบสนองอย่างรวดเร็ว

สาเหตุของความล้มเหลว: การปรับปรุงประสิทธิภาพในปี 2017 ที่พิสูจน์แล้วว่ามีค่าใช้จ่ายสูง

ช่องโหว่ Linux Kernel และ Copy Fail

หัวใจสำคัญทางเทคนิคของ Copy Fail อยู่ที่การเปลี่ยนแปลงที่เกิดขึ้นกับเคอร์เนล Linux ในปี 2017 ซึ่งมีจุดประสงค์เพื่อแก้ไขปัญหานี้ เร่งประสิทธิภาพของโมดูลการเข้ารหัส algif_aeadการเพิ่มประสิทธิภาพนี้ ซึ่งออกแบบมาเพื่อดำเนินการ "ในตำแหน่งเดิม" และหลีกเลี่ยงการคัดลอกหน่วยความจำที่ไม่จำเป็น กลับเปิดช่องทางให้แคชหน้าหน่วยความจำเสียหายโดยไม่ตั้งใจ

โค้ดที่ได้รับผลกระทบนั้นอาศัยเทมเพลต การตรวจสอบความถูกต้อง (HMAC-SHA256 + AES-CBC)แทนที่จะใช้พื้นที่เอาต์พุตทั้งหมดเพื่อเขียนผลลัพธ์ที่เข้ารหัสหรือถอดรหัสแล้ว อัลกอริทึมจะใช้ส่วนหนึ่งของบัฟเฟอร์นั้นเป็นพื้นที่ทำงานชั่วคราว ปัญหาเกิดขึ้นเมื่อในระหว่างการดำเนินการเหล่านี้ มีการเขียนข้อมูลสี่ไบต์ออกไปนอกขอบเขตที่กำหนดไว้

เมื่อใช้ร่วมกับการเรียกใช้ระบบ ประกบ ()เนื่องจากวิธีนี้เชื่อมโยงหน้าแคชของเคอร์เนลโดยตรงกับตัวอธิบายไฟล์ในพื้นที่ผู้ใช้ การเขียนข้อมูลนอกช่วงนี้จึงส่งผลกระทบต่อหน้าแคชที่มีไฟล์ระบบอยู่ หากผู้โจมตีสามารถทำให้หน้าดังกล่าวตรงกับไบนารีที่มีบิต setuid เช่น /usr/bin/su หรือ คำสั่ง sudo ใน Linuxเปิดโอกาสให้สามารถแก้ไขโค้ดที่จะทำงานในฐานะผู้ใช้ระดับ root ได้

แพทช์อย่างเป็นทางการที่แก้ไขช่องโหว่นี้จะย้อนกลับการปรับแต่งที่มีปัญหาดังกล่าว โดยแยกพื้นที่หน่วยความจำต้นทางและปลายทางออกจากกันอีกครั้ง ในสาขาเคอร์เนลที่เสถียร การเปลี่ยนแปลงนี้จะเกี่ยวข้องกับคอมมิตต่างๆ เช่น a664bf3d603dซึ่งได้ถูกนำไปรวมเข้าไว้ในเวอร์ชันที่ได้รับการดูแลรักษาในระยะยาวแล้ว

ห้ารายละเอียดสำคัญเกี่ยวกับวิธีการทำงานของช่องโหว่นี้

การใช้ประโยชน์จากข้อผิดพลาดในการคัดลอกบนระบบลินุกซ์

บทวิเคราะห์ที่เผยแพร่โดย Xint/Theori และบริษัทรักษาความปลอดภัยอื่นๆ อธิบายกลไกการโจมตีที่ค่อนข้างตรงไปตรงมา โดยทั่วไปแล้ว กระบวนการจะดำเนินไปตามขั้นตอนเหล่านี้ โดยใช้ประโยชน์จาก อินเทอร์เฟซเคอร์เนลที่เปิดใช้งานโดยค่าเริ่มต้น ในการแจกจ่ายส่วนใหญ่:

  • ผู้โจมตีเปิด... ซ็อกเก็ต AF_ALG และเลือกโหมด AEAD ที่มีความเสี่ยงในระบบย่อยการเข้ารหัสของเคอร์เนล
  • ตลอด ประกบ ()เชื่อมโยงหน้าต่างๆ จากแคชของไฟล์ที่อ่านได้ (เช่น /usr/bin/su) ไปยังบัฟเฟอร์ปลายทางที่เคอร์เนลจะใช้สำหรับการดำเนินการเข้ารหัสลับ
  • อัลกอริทึมการตรวจสอบสิทธิ์ประมวลผลข้อมูล และเนื่องจากข้อผิดพลาดทางตรรกะ จึงเขียนข้อมูลลงไป เกินขอบเขต 4 ไบต์ ของบัฟเฟอร์เอาต์พุตที่วางแผนไว้
  • ไบต์ทั้ง 4 นั้นตกไปอยู่ในหน้าแคชที่มีรหัสไบนารีพร้อม setuid และเนื้อหาของหน้าแคชนั้นถูกควบคุมโดยผู้โจมตีผ่านพารามิเตอร์การทำงานและ AAD
  • โดยการทำซ้ำวงจรนี้หลายๆ ครั้ง เราสามารถ แก้ไขคำแนะนำหลัก จากไฟล์ไบนารีในหน่วยความจำหรือแทรกโค้ดเชลล์ขนาดเล็ก เมื่อโปรแกรมถูกเรียกใช้งาน จะได้เชลล์ที่มีสิทธิ์ระดับรูท

ข้อได้เปรียบอย่างมากสำหรับผู้โจมตีคือ ทุกอย่างนี้เกิดขึ้นภายใน แคชหน้าเคอร์เนลไฟล์ในดิสก์ไม่ได้ถูกแก้ไข ดังนั้นการตรวจสอบตามปกติโดยใช้แฮช ลายเซ็น หรือเครื่องมือตรวจสอบความสมบูรณ์ของไฟล์จึงแสดงให้เห็นว่าทุกอย่างถูกต้อง

เนื่องจากหน้าดังกล่าวไม่ได้ถูกทำเครื่องหมายว่า "มีการเปลี่ยนแปลง" เคอร์เนลจึงไม่มีเหตุผลที่จะเขียนการเปลี่ยนแปลงกลับลงดิสก์ หากระบบรีบูตหรือแคชถูกล้างเนื่องจากหน่วยความจำเต็ม การแก้ไขก็จะหายไปอย่างไร้ร่องรอย ทำให้การวิเคราะห์ทางนิติวิทยาศาสตร์ในภายหลังมีความซับซ้อนมากขึ้น

ระบบ Linux ใดบ้างที่ได้รับผลกระทบ และระดับความเสี่ยงเป็นอย่างไร?

ผลการวิเคราะห์ทั้งหมดเห็นพ้องกันว่าขอบเขตของช่องโหว่นั้นกว้างขวาง ช่องโหว่นี้ส่งผลกระทบต่อ... เคอร์เนลที่รวมการปรับปรุงประสิทธิภาพในปี 2017 ไว้ด้วย และคงการสนับสนุนสำหรับ AF_ALG และ algif_aead ในทางปฏิบัติ สิ่งนี้ครอบคลุมเวอร์ชันเคอร์เนลส่วนใหญ่ที่ 4.14 และเวอร์ชันที่ใหม่กว่า จนกว่าแต่ละดิสทริบิวชันจะรวมแพทช์ที่เกี่ยวข้องแล้ว

แพลตฟอร์มที่ได้รับผลกระทบได้ถูกระบุไว้อย่างชัดเจนแล้ว Ubuntu, Debian, Red Hat Enterprise Linux (RHEL), SUSE, Amazon Linux และ WSL2 บางเวอร์ชันที่เปิดใช้งาน AF_ALG นักวิจัยหลายคนได้ทดสอบช่องโหว่นี้ในสภาพแวดล้อมการใช้งานจริงแล้ว และยืนยันถึงความเป็นไปได้ในโลกแห่งความเป็นจริง

ในกรณีของยุโรป เรื่องนี้ส่งผลกระทบโดยตรงต่อ โครงสร้างพื้นฐานที่สำคัญและบริการสาธารณะ โดยที่ Linux เป็นมาตรฐานที่ใช้กันอย่างแพร่หลาย ตั้งแต่หน่วยงานภาครัฐและมหาวิทยาลัย ไปจนถึงธนาคาร ผู้ให้บริการเครือข่าย และผู้ให้บริการโฮสติ้งรายใหญ่ที่ให้บริการเซิร์ฟเวอร์แบบแชร์หรือ VPS สำหรับผู้ใช้หลายคน

ระดับความรุนแรงจะอยู่ในช่วงค่าประมาณ มีความเสี่ยงสูงตามมาตรวัด CVSS (ประมาณ 7,8/10)แม้ว่าจะเป็นช่องโหว่ที่ไม่สามารถโจมตีจากระยะไกลได้ แต่ด้วยความเรียบง่าย ความเสถียร และความสามารถในการทำลายการแยกส่วนระหว่างผู้ใช้และคอนเทนเนอร์ ทำให้ช่องโหว่นี้อยู่ในระดับเดียวกับช่องโหว่อย่าง Dirty Pipe หรือ Dirty COW

ระบบปฏิบัติการต่างๆ ได้เผยแพร่คำแนะนำด้านความปลอดภัยออกมาแล้ว ตัวอย่างเช่น Ubuntu ได้ระบุ CVE ไว้ว่า มีลำดับความสำคัญสูง สำหรับ LTS หลายสาขาและรายละเอียดต่างๆ จะแสดงแพ็กเกจที่ยัง "รอการแก้ไข" ในขณะที่ผู้ให้บริการอย่าง Amazon Linux จะแสดงรายการเวอร์ชันเคอร์เนลเฉพาะ เช่น 5.4, 5.10, 5.15, 6.12 หรือ 6.18 ที่รอการอัปเดต

ผลกระทบต่อเซิร์ฟเวอร์ คอนเทนเนอร์ และสภาพแวดล้อมคลาวด์

จุดที่ Copy Fail แสดงด้านที่แย่ที่สุดออกมาคือในส่วนนี้ สถานการณ์ผู้เช่าหลายรายกล่าวคือ กรณีที่ผู้ใช้หรือลูกค้าหลายรายใช้เครื่องคอมพิวเตอร์เครื่องเดียวกันหรือเคอร์เนลเดียวกัน เช่น เซิร์ฟเวอร์ที่ใช้ร่วมกัน คลัสเตอร์ Kubernetes ตัวรัน CI/CD หรือบริการคลาวด์ที่รันโค้ดของลูกค้า

ยกตัวอย่างเช่น ในผู้ให้บริการโฮสติ้งในยุโรป ลูกค้าที่มีบัญชีผู้ใช้ธรรมดาบนเซิร์ฟเวอร์แบบแชร์ อาจใช้ช่องโหว่เล็กน้อยในเว็บแอปพลิเคชันของตนเองเพื่อเรียกใช้โค้ดในเครื่อง แล้วใช้ CopyFail เพื่อโจมตีเซิร์ฟเวอร์ทั้งหมด จากนั้น ข้อมูลและบริการของลูกค้ารายอื่น ๆ บนเซิร์ฟเวอร์ก็จะตกอยู่ในความเสี่ยง

สถานการณ์ก็คล้ายคลึงกันใน แพลตฟอร์มการบูรณาการอย่างต่อเนื่องและการปรับใช้ต่อเนื่อง (CI/CD) โปรแกรมดังกล่าวทำหน้าที่คอมไพล์และทดสอบโค้ดจากหลายโปรเจกต์บนเครื่องคอมพิวเตอร์ที่ใช้ร่วมกัน งานที่ดูเหมือนไม่มีพิษภัยภายในโปรแกรมรันเนอร์อาจใช้ช่องโหว่นี้เพื่อเข้าถึงสิทธิ์ระดับรูท ทำให้สามารถเข้าถึงงานอื่นๆ และข้อมูลประจำตัวที่จัดเก็บไว้ในสภาพแวดล้อมได้

ในกรณีของ Kubernetes และระบบจัดการคอนเทนเนอร์อื่นๆปัญหาคือ พอดทั้งหมดบนโหนดเดียวกันใช้แคชเพจเคอร์เนลของโฮสต์ร่วมกัน ผู้ใช้ภายในคอนเทนเนอร์ที่สามารถรันการพิสูจน์แนวคิดได้ อาจหลุดออกจากสภาพแวดล้อมที่แยกตัวออกไป ควบคุมโหนด และจากนั้นก็เคลื่อนที่ไปยังส่วนต่างๆ ของคลัสเตอร์ได้

สถานการณ์ประเภทนี้พบได้บ่อยมากในศูนย์ข้อมูลของยุโรป ผู้ให้บริการคลาวด์ระดับภูมิภาค และบริษัทขนาดใหญ่ที่นำ Kubernetes มาใช้สำหรับเวิร์กโหลดของตน สำหรับหลายๆ บริษัท ช่องโหว่ CVE-2026-31431 ได้ก่อให้เกิดปัญหาขึ้น วันหยุดสุดสัปดาห์กับการแก้ไขปัญหา จิบกาแฟ และการวางแผนเริ่มต้นใหม่ เพื่อลดช่องว่างให้เร็วที่สุด

ช่องโหว่ Copy Fail เมื่อเทียบกับช่องโหว่เคอร์เนล Linux รุ่นก่อนหน้า

ข้อผิดพลาดการคัดลอก (Copy Fail) ถูกนำไปเปรียบเทียบกับข้อผิดพลาดเคอร์เนลที่มีชื่อเสียงอื่นๆ เช่น วัวสกปรก หรือ ท่อสกปรกนอกจากนี้ พวกเขายังเล่นกับแคชของหน้าเว็บและการดำเนินการ I/O เพื่อแก้ไขไฟล์ที่ในทางทฤษฎีแล้วสามารถอ่านได้เท่านั้น

ความแตกต่างที่สำคัญคือระบบย่อยที่ถูกโจมตี ในขณะที่ช่องโหว่ก่อนหน้านี้ใช้ประโยชน์จากเส้นทางการเขียนในไปป์ไลน์หรือกลไกการคัดลอกไฟล์ แต่ Copy Fail อาศัย... เส้นทางการเข้ารหัสของเคอร์เนลโดยใช้การดำเนินการ AF_ALG และ AEAD เพื่อให้ได้ข้อมูลเขียนขนาด 4 ไบต์ในแคช

จากมุมมองของผู้โจมตี วิธีนี้มีข้อดีหลายประการ ได้แก่ โค้ดที่จำเป็นลดลงอย่างมาก มันไม่ได้ขึ้นอยู่กับเผ่าพันธุ์ที่ซับซ้อน และใช้ API ที่โดยปกติจะเปิดใช้งานอยู่แล้ว เนื่องจากแอปพลิเคชันที่ถูกต้องตามกฎหมายจำนวนมากอาศัย API เหล่านั้นสำหรับการเข้ารหัสและการตรวจสอบสิทธิ์

ผลลัพธ์ที่ได้คือช่องโหว่ที่เงียบกว่าและพกพาสะดวกกว่า ซึ่งทำงานได้ค่อนข้างสม่ำเสมอในสถาปัตยกรรมและเวอร์ชันเคอร์เนลต่างๆ ภายในช่วงที่ได้รับผลกระทบ ดังนั้น แม้ว่าจะไม่สามารถเขียนข้อมูลตามอำเภอใจได้อย่างไม่จำกัดเหมือนช่องโหว่อื่นๆ แต่การผสมผสานระหว่างความน่าเชื่อถือและการซ่อนเร้น ทำให้มันเป็นเครื่องมือที่น่าสนใจมากในห่วงโซ่การโจมตีที่กว้างขึ้น

สำหรับทีมรักษาความปลอดภัย นี่เป็นการตอกย้ำแนวคิดที่กำลังพัฒนาอยู่แล้ว: การปรับปรุงประสิทธิภาพในเคอร์เนล หากไม่ผ่านการตรวจสอบความปลอดภัยอย่างละเอียดถี่ถ้วน อาจทำให้เกิดช่องโหว่ร้ายแรงได้ ซึ่งไม่ใช่เรื่องง่ายเลยในโค้ดขนาดใหญ่และเปลี่ยนแปลงอยู่ตลอดเวลาอย่างลินุกซ์

บทบาทของปัญญาประดิษฐ์ในการค้นพบข้อผิดพลาดในการคัดลอก

หนึ่งในแง่มุมที่น่าสนใจที่สุดของคดีนี้คือ การค้นพบข้อผิดพลาดที่อยู่มาเกือบสิบปีได้อย่างไร ทีมอย่าง Xint Code และ Theori ได้อธิบายว่า การค้นพบนี้ไม่ได้เกิดจากความอดทนของมนุษย์เพียงอย่างเดียว แต่ยังเกิดจากการใช้... เครื่องมือวิเคราะห์โค้ดที่ใช้ AI ช่วย.

โซลูชันเหล่านี้ทำการสแกนโค้ดหลักอย่างละเอียด เพื่อค้นหารูปแบบที่น่าสงสัย การเข้าถึงหน่วยความจำที่อาจเป็นอันตราย และการรวมกันของฟังก์ชันที่ตรงกับแบบจำลองความเสี่ยงที่เรียนรู้มา ในระบบย่อยที่ซับซ้อนอย่างเช่นการเข้ารหัสลับ ซึ่งการปรับแต่ง แม่แบบ และมาโครนั้นเกี่ยวพันกัน ดวงตาของมนุษย์อาจมองข้ามปฏิสัมพันธ์ที่ละเอียดอ่อนเหล่านี้ไปได้ง่าย

ในทางกลับกัน AI ช่วยเน้นส่วนของโค้ดที่ควรได้รับการตรวจสอบอย่างละเอียด ในกรณีของ Copy Fail วิธีการนี้ช่วยให้ ตรวจจับข้อผิดพลาดเชิงตรรกะในการตรวจสอบสิทธิ์ และความสัมพันธ์กับการปรับปรุงประสิทธิภาพในปี 2017 และการใช้ฟังก์ชัน splice() ซึ่งเป็นสิ่งที่ถูกมองข้ามไปในการตรวจสอบครั้งก่อนๆ

สำหรับองค์กรหลายแห่งในยุโรป ข้อความนี้มีสองด้าน: ด้านหนึ่ง แม้แต่ซอฟต์แวร์ที่ได้รับการตรวจสอบอย่างละเอียดถี่ถ้วนที่สุดก็อาจซ่อนช่องโหว่ที่สำคัญไว้ได้นานหลายปี อีกด้านหนึ่ง การใช้เครื่องมือวิเคราะห์ขั้นสูงที่ใช้ AI กำลังกลายเป็นเรื่องสำคัญมากขึ้น แทบจะเป็นข้อกำหนดที่ขาดไม่ได้เลย เพื่อเสริมสร้างความปลอดภัยของโครงสร้างพื้นฐานที่สำคัญ

มาตรการบรรเทาและแผ่นแปะพร้อมใช้งานแล้ว

วิธีแก้ปัญหาพื้นฐานยังคงใช้วิธีการเดิม แต่มีความเร่งด่วนมากขึ้น: อัปเดตเคอร์เนล Linux ไปยังเวอร์ชันที่มีแพทช์สำหรับ CVE-2026-31431 แล้ว ผู้ดูแลเคอร์เนลได้แก้ไขช่องโหว่นี้ในสาขาต่างๆ เช่น 6.18.22, 6.19.12 และ kernel 7.0และกำลังดำเนินการนำฟังก์ชันการทำงานกลับไปใช้ในเวอร์ชันที่รองรับระยะยาว

ระบบปฏิบัติการ Linux ที่แพร่หลายที่สุดในยุโรป (Ubuntu, Debian, SUSE, RHEL, Amazon Linux และระบบที่พัฒนาต่อยอดจาก RHEL) ได้ทยอยปล่อยเคอร์เนลเวอร์ชันที่ได้รับการแก้ไขแล้ว ในหลายกรณี การเปลี่ยนแปลงจะเชื่อมโยงกับ commit นั้นๆ a664bf3d603d หรือเทียบเท่าที่แก้ไขการจัดการบัฟเฟอร์ใน algif_aead และย้อนกลับการปรับแต่งแบบ in-place ที่มีปัญหา

ในกรณีที่ไม่สามารถรีสตาร์ทระบบได้ทันที มีมาตรการชั่วคราวหลายอย่างที่แนะนำเพื่อลดความเสี่ยงจากการโจมตี หนึ่งในมาตรการที่ตรงที่สุดคือ ปิดใช้งานโมดูล algif_aead โดยใช้กฎ modprobe เพื่อป้องกันไม่ให้โหลดเมื่อเริ่มต้นระบบ และยกเลิกการโหลดหากมีการใช้งานอยู่แล้ว

สำหรับสภาพแวดล้อมที่มีความเสี่ยงสูง ผู้เชี่ยวชาญบางคนแนะนำให้ดำเนินการเพิ่มเติมอีกขั้นหนึ่ง บล็อกอินเทอร์เฟซ AF_ALG ผ่านนโยบายความปลอดภัย เช่น seccomp, AppArmor หรือ SELinux มาตรการนี้มีความเข้มงวดมากกว่า เนื่องจากอาจส่งผลกระทบต่อแอปพลิเคชันที่ถูกต้องตามกฎหมายซึ่งใช้ AF_ALG สำหรับงานเข้ารหัสลับ ดังนั้นจึงควรทดสอบอย่างละเอียดในแต่ละสภาพแวดล้อมก่อนนำไปใช้งานจริง

การตรวจจับและติดตามความพยายามในการแสวงหาประโยชน์

แม้ว่าการแก้ไขช่องโหว่จะเป็นสิ่งสำคัญอันดับแรก แต่หลายองค์กรต้องการทราบว่าช่องโหว่ Copy Fail ถูกนำไปใช้ในระบบของตนหรือไม่ หรืออย่างน้อยก็ต้องการนำกลไกการเตือนภัยล่วงหน้ามาใช้ ผู้จำหน่ายโซลูชันด้านความปลอดภัยหลายรายได้เผยแพร่ข้อมูลดังกล่าว กฎการตรวจสอบเฉพาะและ EDR ในกรณีนี้

วิธีการทั่วไปคือการตรวจสอบการเข้าถึงแบบอ่านอย่างเดียว ไบนารีที่มี setuid (เช่น su, sudo, passwd, gpasswd, mount, umount, fusermount3 เป็นต้น) เมื่อคำสั่งเหล่านั้นมาจากตัวแปลภาษา เช่น Python หรือมาจากพาธที่ไม่ปกติ รวมถึงลำดับที่ผู้ใช้ที่ไม่ได้รับสิทธิ์เรียกใช้ splice() ทันที

ขอแนะนำให้ติดตามการสร้างด้วยเช่นกัน ซ็อกเก็ต AF_ALG (ตระกูลที่ 26 ในระบบเลขฐานสิบ) จาก UID ของผู้ใช้ทั่วไป และเชื่อมโยงเหตุการณ์เหล่านี้กับการเรียกใช้ไบนารีที่มีสิทธิ์พิเศษซึ่งเปิดใช้งานโดยใช้คำสั่ง sh -co ที่คล้ายกัน ซึ่งเป็นรูปแบบที่สอดคล้องกับสิ่งที่การพิสูจน์แนวคิดดั้งเดิมทำ

ในสภาพแวดล้อม SIEM กฎเหล่านี้สามารถแปลงเป็นมาตรฐาน auditd และความสัมพันธ์ที่จะกระตุ้นการแจ้งเตือนเมื่อพบรูปแบบพฤติกรรมที่น่าสงสัย ผู้จำหน่าย EDR ขั้นสูงได้เพิ่มลายเซ็นที่มีชื่อเช่น possible_copy_fail_cve_2026_31431 หรือคล้ายกัน เพื่อตรวจจับช่องโหว่ที่เขียนด้วย Python, Go หรือ Rust

แม้ว่าการตรวจสอบนี้จะไม่สามารถทดแทนการแก้ไขข้อบกพร่องได้ แต่ก็ช่วยได้มาก ระบุถึงกิจกรรมที่ผิดปกติ เพื่อตอบสนองก่อนที่เหตุการณ์จะบานปลาย ซึ่งมีความสำคัญอย่างยิ่งสำหรับสถาบันการเงิน หน่วยงานภาครัฐ และผู้ให้บริการที่สำคัญภายในสหภาพยุโรป

คำแนะนำเชิงปฏิบัติสำหรับบริษัทและผู้จัดการ

สำหรับองค์กรที่พึ่งพา Linux ในโครงสร้างพื้นฐานอย่างมาก กรณี Copy Fail เรียกร้องให้มีการดำเนินการแก้ไขอย่างเร่งด่วนและปรับเปลี่ยนกลยุทธ์ด้านความปลอดภัยอย่างพื้นฐาน ในระยะสั้น ขั้นตอนที่เหมาะสมที่สุด ได้แก่:

  • ตรวจสอบระบบ Linux ทั้งหมด ในการใช้งานจริง ให้ตรวจสอบเวอร์ชันเคอร์เนลด้วยเครื่องมือต่างๆ เช่น uname -r
  • เช็คอิน ประกาศด้านความปลอดภัยสำหรับการแจกจ่ายแต่ละครั้ง (Ubuntu, Debian, RHEL, SUSE, Amazon Linux ฯลฯ) หากเวอร์ชันที่ใช้งานอยู่ได้รับผลกระทบจาก CVE-2026-31431
  • สมัครโดยเร็วที่สุด การอัปเดตเคอร์เนล เผยแพร่โดยผู้ให้บริการ โดยให้ความสำคัญกับเซิร์ฟเวอร์ที่เปิดเผยต่อผู้ใช้หลายคนหรือโค้ดที่ไม่น่าเชื่อถือ
  • ในระบบที่ไม่สามารถอัปเดตข้อมูลได้ทันที ปิดใช้งาน algif_aead โดยใช้คำสั่ง modprobe และหากเป็นไปได้ ให้จำกัดการทำงานของ AF_ALG ด้วย seccomp/AppArmor/SELinux
  • ทบทวนและปรับปรุงนโยบายเกี่ยวกับตู้คอนเทนเนอร์และการขนส่งตู้คอนเทนเนอร์ให้มีประสิทธิภาพยิ่งขึ้น สภาพแวดล้อม Kubernetes เพื่อจำกัดการเข้าถึงส่วนติดต่อของเคอร์เนลที่ไม่จำเป็นอย่างยิ่ง

ในระยะกลาง ควรทบทวนว่ามีไฟล์ไบนารีที่มีบิต setuid อยู่ในระบบจำนวนเท่าใด และไฟล์เหล่านั้นมีความจำเป็นจริงหรือไม่ เพื่อลดความเสี่ยงของเซิร์ฟเวอร์แบบหลายผู้ใช้ และปรับปรุงการทำงานร่วมกันให้ดียิ่งขึ้น เครื่องมือวิเคราะห์อัตโนมัติและปัญญาประดิษฐ์ ในกระบวนการพัฒนาและทดสอบภายในองค์กร

การปรากฏตัวของช่องโหว่ Copy Fail เป็นเครื่องเตือนใจว่า แม้แต่โครงการที่มีมายาวนานและได้รับการตรวจสอบอย่างละเอียดถี่ถ้วนอย่างเคอร์เนลของลินุกซ์ ก็ยังคงมีช่องโหว่ร้ายแรงอยู่ได้เป็นเวลาหลายปี สำหรับธุรกิจ หน่วยงานรัฐบาล และผู้ให้บริการคลาวด์ในยุโรป การผสมผสานระหว่างการแก้ไขช่องโหว่อย่างรวดเร็ว การออกแบบมาตรการบรรเทาผลกระทบที่ดี และการตรวจสอบที่ละเอียดขึ้น คือวิธีที่ดีที่สุดในปัจจุบันในการควบคุมช่องโหว่ดังกล่าว ซึ่งช่องโหว่นี้ ด้วยโค้ดเพียงไม่กี่ร้อยไบต์ ก็สามารถเปลี่ยนผู้ใช้ภายในเครื่องให้กลายเป็นเจ้าของระบบได้อย่างสมบูรณ์

ผู้ใช้ root ใน Linux
บทความที่เกี่ยวข้อง:
ผู้ใช้ระดับรูทในลินุกซ์: สิทธิ์การใช้งาน ความเสี่ยง และแนวทางปฏิบัติที่ดีที่สุด