美國政府警告嚴重的 CopyFail 漏洞正影響主要版本的 Linux

一項影響幾乎所有版本 Linux 作業系統的嚴重安全漏洞，在安全研究人員公開發布可讓攻擊者完全控制受害系統的利用程式碼（exploit code）後，令防禦人員措手不及並正爭分奪秒地進行修補。

美國政府表示，這個被稱為「CopyFail」的漏洞目前正被「在野利用」（exploited in the wild），這意味著它已被積極用於惡意駭客攻擊活動中。

該漏洞的官方編號為 CVE-2026-31431，於 Linux 核心（kernel）7.0 及更早版本中發現。該漏洞於 3 月底向 Linux 核心安全團隊披露，並在大約一週後完成修補。然而，修補程式尚未完全下發到依賴該受影響核心的眾多 Linux 發行版中，這使得任何執行受影響 Linux 版本的系統都面臨被入侵的風險。

Linux 被廣泛應用於企業環境，驅動著全球大部分數據中心的電腦。

CopyFail 網站指出，同樣的一段簡短 Python 腳本就能「取得自 2017 年以來發布的每個 Linux 發行版的 root 權限」。根據發現 CopyFail 的安全公司 Theori 的說法，該漏洞已在多個廣泛使用的 Linux 版本中得到驗證，包括 Red Hat Enterprise Linux 10.1、Ubuntu 24.04 (LTS)、Amazon Linux 2023 以及 SUSE 16。

DevOps 工程師兼開發者 Jorijn Schrijvershof 在一篇部落格文章中寫道，該漏洞利用程式在 Debian 和 Fedora 版本以及依賴 Linux 核心的 Kubernetes 上均有效。Schrijvershof 形容該漏洞具有「異常巨大的爆炸半徑」，因為它適用於「幾乎所有現代發行版」的 Linux。

該漏洞之所以被稱為 CopyFail，是因為 Linux 核心（作業系統的核心，幾乎擁有對整個裝置的完全存取權限）中的受影響組件在應該複製某些數據時未能執行複製。這會損壞核心內部的敏感數據，使攻擊者能夠利用核心對系統其餘部分（包括其數據）的存取權限。

如果被利用，該漏洞會特別棘手，因為它允許權限受限的一般用戶在受影響的 Linux 系統上獲得完全的管理員（administrator）權限。成功入侵數據中心的一台伺服器，可能使攻擊者能夠存取眾多企業客戶的每個應用程式、伺服器和資料庫，並可能進一步存取同一網路或數據中心內的其他系統。

CopyFail 漏洞本身無法透過網際網路直接利用，但如果與可透過網際網路運作的漏洞結合使用，則可被武器化。根據微軟（Microsoft）的說法，如果將 CopyFail 漏洞與另一個可透過網際網路傳遞的漏洞串聯起來，攻擊者就可以利用該缺陷獲得受影響伺服器的 root 權限。使用帶有漏洞核心的 Linux 電腦的用戶，也可能被誘騙點擊惡意連結或附件，從而觸發該漏洞。

該漏洞也可能透過供應鏈攻擊注入，即惡意行為者駭入開源開發者的帳戶，並在其程式碼中植入惡意軟體，以便一次性入侵大量裝置。

鑑於對聯邦企業網路的風險，美國網路安全暨基礎設施安全局（CISA）已下令所有民事聯邦機構在 5 月 15 日之前修補所有受影響的系統。