La **CISA** a émis une alerte concernant la **CVE-2026-31431**, une vulnérabilité d'escalade de privilèges locale affectant diverses distributions Linux. La vulnérabilité, également connue sous le nom de **Copy Fail**, permet à un utilisateur local non privilégié d'obtenir un accès root. ### Détails techniques de Copy Fail La vulnérabilité, référencée sous le nom de **CVE-2026-31431** (score CVSS : 7.8), découle d'un transfert de ressources incorrect au sein du noyau Linux. Selon les chercheurs de Theori et Xint, **Copy Fail** est un bug logique dans le modèle cryptographique d'authentification du noyau Linux. Cela permet aux attaquants de déclencher facilement une escalade de privilèges à l'aide d'un exploit Python relativement petit de 732 octets. La faille a été introduite par des modifications apparemment anodines du noyau Linux en 2011, 2015 et 2017. ### Impact et systèmes affectés Cette vulnérabilité de haute gravité affecte les distributions Linux livrées depuis 2017. Elle permet à un utilisateur local non privilégié d'obtenir un accès de niveau root en corrompant le [page cache](https://en.wikipedia.org/wiki/Page_cache) en mémoire du noyau de tout fichier lisible, y compris les binaires setuid. **Wiz**, une société de sécurité détenue par **Google**, explique que la modification du page cache modifie effectivement les binaires au moment de l'exécution sans modifier le disque. Cela permet aux attaquants d'injecter du code dans des binaires privilégiés (par exemple, /usr/bin/su) pour obtenir des privilèges root.  ### Environnements conteneurisés à risque La prévalence de Linux dans les environnements cloud amplifie considérablement l'impact de cette vulnérabilité. **Kaspersky** avertit que **Copy Fail** représente un risque sérieux pour les environnements conteneurisés tels que **Docker**, **LXC** et **Kubernetes**. Ces plateformes accordent souvent aux processus à l'intérieur d'un conteneur un accès au sous-système AF_ALG si le module algif_aead est chargé dans le noyau hôte par défaut. **Kaspersky** note en outre que l'exploitation est relativement simple et difficile à détecter, car l'exploit utilise uniquement des appels système légitimes. Cela rend difficile la distinction par rapport au comportement normal d'une application. ### Disponibilité de l'exploit et activité des acteurs de la menace Un exploit de preuve de concept (PoC) entièrement fonctionnel est publiquement disponible. **Kaspersky** a détecté des versions Go et Rust de l'implémentation Python originale dans des dépôts open-source. L'équipe de recherche en sécurité de **Microsoft Defender** a observé une activité de test préliminaire, suggérant une augmentation potentielle de l'exploitation par les acteurs de la menace dans un avenir proche. ### Analyse de Microsoft et vecteurs d'attaque Selon **Microsoft**, le vecteur d'attaque est local et nécessite des privilèges faibles sans interaction utilisateur. Bien qu'il ne soit pas exploitable à distance isolément, il devient très impactant lorsqu'il est chaîné avec un vecteur d'accès initial, tel que l'accès Secure Shell (SSH), l'exécution de tâches CI malveillantes ou des points d'ancrage dans des conteneurs. **Microsoft** a décrit un scénario d'attaque potentiel : 1. Reconnaissance pour identifier un hôte ou un conteneur Linux vulnérable. 2. Préparation d'un déclencheur Python. 3. Exécution de l'exploit à partir d'un contexte à privilèges faibles. 4. Écrasement contrôlé de 4 octets dans le page cache du noyau, entraînant la corruption de données sensibles gérées par le noyau. 5. Escalade vers UID 0 et privilèges root complets. ### Remédiation et atténuation Les agences du Federal Civilian Executive Branch (FCEB) sont tenues d'appliquer les correctifs d'ici le 15 mai 2026. Des correctifs ont été publiés par les distributions Linux affectées. Si une correction immédiate n'est pas réalisable, les organisations doivent désactiver la fonctionnalité affectée, mettre en œuvre une isolation réseau et appliquer des contrôles d'accès stricts.