Не Log4Shell, но патчить придется всем: в ОС Linux выявлена новая эксплуатируемая уязвимость

Она получила обозначение CVE‑2026‑31431 и оценку 7,8 по шкале CVSS

30 апреля 2026 г.

Специалисты по кибербезопасности выявили новую уязвимость в ОС Linux, получившую неофициальное название Copy Fail, которая позволяет злоумышленнику, обладающему доступом к системе с правами обычного пользователя, повысить привилегии до уровня администратора (root). Уязвимость затрагивает системы, выпущенные за последние годы, начиная с 2017‑го. Основная особенность — крайне простая эксплуатация и наличие публичного эксплоита.

Уязвимость присутствует в Linux‑ядрах, используемых с 2017 года. Linux остается одной из самых распространенных операционных систем в мире, и это означает, что проблема уязвимости в ядре потенциально затрагивает широкий спектр Linux‑систем:

серверы (физические и виртуальные);
облачную инфраструктуру (IaaS/PaaS);
контейнерные среды (Docker, Kubernetes‑ноды);
CI/CD‑раннеры и сборочные агенты;
виртуальные машины и гипервизоры на базе Linux;
встраиваемые системы (embedded-/IoT‑устройства);
сетевое оборудование на Linux (роутеры, шлюзы, фаервол);
рабочие станции и десктопы на Linux.

По оценкам Fortune Business Insights, по состоянию на 2025 год объем мирового рынка серверных операционных систем составил 29 млн 539 тыс. единиц. Эксперты прогнозируют, что сегмент Linux будет доминировать на глобальном рынке с долей 63,73% в 2026 году. Из чего следует, что десятки миллионов серверов как на мировом рынке, так и на рынке РФ потенциально подвержены угрозе.

Эксплуатация уязвимости дает возможность злоумышленнику, имеющему доступ к системе с правами обычного пользователя, получить полный контроль над устройством. Публичная доступность proof‑of‑concept (PoC) делает уязвимость опасной: ее могут использовать не только высококвалифицированные атакующие, но и менее опытные злоумышленники. Уязвимости присвоен высокий (high) уровень опасности, однако она не относится к категории катастрофических по одной причине: для ее эксплуатации требуется предварительный доступ к системе.

Это означает, что:

внешнему атакующему необходимо сначала скомпрометировать систему, получив к ней доступ от имени любого пользователя;
если нарушитель или атакующий уже получил доступ и находится внутри, то риск становится максимальным.

Как защититься

Основной способ исправления уязвимости — обновление ядра до последней версии. Большинство вендоров уже выпустили исправление. В случае невозможности обновления ядра временная мера — отключение модуля algif_aead, если это не нарушает работу системы.

Главная проблема с митигацией Copy Fail — это не выпустить патч, а в том, чтобы реально донести его до всех уязвимых систем. Linux стоит не только на серверах в дата‑центрах, но и в роутерах, модемах, IoT‑устройствах, носимых гаджетах, терминалах, промышленных системах и во многих других. На обычных серверах обновление ядра часто требует перезагрузки, а это окна обслуживания, согласования и риски. В устройствах и во встроенных системах все еще сложнее: там обновление зависит от производителя, а он может выпустить прошивку поздно или не выпустить вообще, потому что многие устройства за период с 2017 по 2022 год — это уже легаси‑системы.

Уязвимость, вероятнее всего, быстро закроют в облаках, Kubernetes‑кластерах и на критичных серверах. Но длинный хвост старых и забытых Linux‑систем будет оставаться уязвимым еще годами. С другой стороны, не на всех этих системах эксплуатация уязвимости приведет к сильным бизнес‑рискам.

Михаил Сидорук

Руководитель управления анализа защищенности

Не Log4Shell, но патчить придется всем: в ОС Linux выявлена новая эксплуатируемая уязвимость

Как защититься

Рекомендации от команды offensive BI.ZONE