この脆弱性は、攻撃的セキュリティ企業である**Theori**が、AI駆動のペネトレーションテストプラットフォーム**Xint Code**を使用して、約1時間かけてLinux暗号サブシステムをスキャンした後に発見しました。 **Theori**は3月23日にLinuxカーネルセキュリティチームにこの発見を報告し、1週間以内にパッチが提供されました。技術的な詳細と概念実証（Proof-of-Concept）エクスプロイトは、その後すぐに公開されました。 このサイバーセキュリティ企業は、4つのLinuxディストリビューション（**Ubuntu 24.04 LTS**、**Amazon Linux 2023**、**RHEL 10.1**、および**SUSE 16**）に対して「100%信頼性の高い」Pythonベースのエクスプロイトを開発・テストしましたが、研究者たちは、この732バイトのスクリプトが2017年以降に出荷されたすべてのLinuxディストリビューションでroot権限を取得できると主張しています。 ### Copy Failの根本原因 [詳細な解説](https://xint.io/blog/copy-fail-linux-distributions)で、研究者たちはCopy Fail（**CVE-2026-31431**）の問題は「Linuxカーネルのauthencesn暗号テンプレートにおけるロジックバグ」であり、認証されたユーザーがシステム上の任意の読み取り可能なファイルのページキャッシュに「4バイトの書き込み」を確実に実行できると説明しています。 ユーザー空間からLinuxカーネルの暗号機能へのアクセスを許可する「AF_ALG」ソケットベースのインターフェースと`splice()`システムコールを組み合わせることで、特権を持たないユーザーは、通常のバッファではなく、ファイルのページキャッシュに4バイトの制御された書き込みを行うことができます。 もしその4バイトがsetuid-rootバイナリにヒットした場合、実行時のそのバイナリの動作を変更し、攻撃者にroot権限を付与することができます。 この欠陥は、Linuxカーネルチームが暗号パスに「インプレース」最適化を追加した2017年に導入されました。これは、入力と出力を厳密に分離するのではなく、同じバッファを再利用し始めたことを意味します。 ### 影響と修正 研究者によると、**Theori**の概念実証（PoC）は、脆弱なLinuxカーネルバージョンを実行しているすべての主要Linuxディストリビューションにrootアクセスを付与する、一貫して効果的な732バイトのエクスプロイトです。 彼らは、**Ubuntu 24.04**、**Amazon Linux 2023**、**RHEL 10.1**、および**SUSE 16**で[Copy Fail](https://copy.fail/)エクスプロイトを実証・確認しました。  Copy Failは、典型的なローカル権限昇格の欠陥よりも「[Dirty Pipe](https://www.bleepingcomputer.com/news/security/new-linux-bug-gives-root-on-all-major-distros-exploit-released/)」の脆弱性に近く、より信頼性が高く（成功率100%と主張）、このクラスのほとんどのバグよりも広範囲に悪用可能であると特徴付けられています。Dirty Pipeと比較しても、Copy Failはより実用的であると見なされています。 「Copy Failはよりポータブルです。1つのスクリプトで、すべてのディストリビューション、オフセットなし。Dirty Pipeはカーネル≥ 5.8と特定のパッチが必要でしたが、Copy Failは2017年から2026年の全期間をカバーしています」と**Theori**の研究者は述べています。 [CVE-2026-31431](https://nvd.nist.gov/vuln/detail/CVE-2026-31431)は、2017年にLinuxカーネルバージョン4.14で導入された問題のある「インプレース」暗号動作を元に戻すことで、4月1日にアップストリームで修正されました。この修正は、バージョン6.18.22、6.19.12、および7.0で利用可能になりました。 研究者によると、主要なLinuxディストリビューションはすでにカーネルアップデートを通じてこの修正をプッシュしています。しかし、Tharrosの主任脆弱性アナリストであるWill Dormann氏は、「CVE-2026-31431に対する公式アップデートはありません」と指摘しています。 「Fedora 42以降にはアップデートがありますが、CVE-2026-31431の公式アドバイザリや認識はありません」と[Dormann氏は述べています](http://infosec.exchange/@wdormann/116493725294723695)。 まだアップデートを受け取っていないユーザー向けの暫定的な緩和策として、研究者たちは脆弱な暗号インターフェースを無効にすることを推奨しています。これにより、AF_ALGソケットの作成がブロックされます。または、algif_aeadモジュールを無効にすることもできます。 bash echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf rmmod algif_aead **Theori**の研究者は、マルチテナントLinuxホスト、Kubernetes/コンテナクラスター、CIランナー/ビルドファーム、およびユーザーコードを実行するクラウドSaaSを、パッチ作業の優先順位として扱うことを提案しています。 ## [Mythosが見つけたものの99%はまだパッチが適用されていません。](https://hubs.li/Q04crVgD0) AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスしました。新しいエクスプロイトの波が到来しています。 Autonomous Validation Summit（5月12日および14日）で、自律的でコンテキストリッチな検証が、悪用可能なものをどのように見つけ、制御が有効であることを証明し、修正ループを閉じるかをご覧ください。 [参加登録はこちら](https://hubs.li/Q04crVgD0)