CopyFail ranjivost Linuxa uzbunila sigurnosnu zajednicu

CopyFail ranjivost Linuxa izazvala je ozbiljnu uzbunu u globalnoj sigurnosnoj zajednici nakon što je javno objavljen exploit koji omogućuje root pristup na gotovo svim verzijama Linux kernela. Ranjivost i pripadajući exploit objavljeni su u srijedu navečer, pet tjedana nakon što su istraživači sigurnosne tvrtke Theori privatno obavijestili Linux kernel sigurnosni tim. Problem je dodatno pogoršan činjenicom da većina Linux distribucija u tom trenutku još nije imala dostupne zakrpe, što je otvorilo prostor za ozbiljne kompromitacije podatkovnih centara, cloud infrastrukture i osobnih uređaja.

---

Lokalna eskalacija privilegija koja ruši granice

Objava CopyFail ranjivosti Linuxa otvorila je pitanje sigurnosti svih sustava koji se oslanjaju na zajednički kernel. Iako je riječ o lokalnoj eskalaciji privilegija, posljedice se protežu daleko izvan jednog korisničkog računa. U modernim okruženjima, gdje više korisnika, kontejnera i servisa dijeli isti kernel, ovakva ranjivost može u potpunosti srušiti izolacijske mehanizme.

Što znači „lokalna eskalacija privilegija“

Prema riječima Jorijna Schrijvershofa, istraživača koji je sudjelovao u analizi ranjivosti, značenje pojma često se podcjenjuje. Kako je naveo:
Prema riječima Jorijna Schrijvershofa, istraživača, „‘Lokalna eskalacija privilegija’ zvuči suhoparno, pa ću to razjasniti. To znači: napadač koji već ima neki način za pokretanje koda na stroju, čak i kao najdosadniji neprivilegirani korisnik, može se unaprijediti u root. Odatle može čitati svaku datoteku, instalirati stražnja vrata, nadzirati svaki proces i proširiti napad na druge sustave.”

Ova izjava jasno pokazuje da CopyFail ne služi za početni prodor, već drastično mijenja situaciju u trenucima nakon što napadač već dobije ograničeni pristup sustavu.

Jedan exploit za sve distribucije

Posebna težina CopyFail ranjivosti Linuxa leži u činjenici da se exploit ponaša iznimno pouzdano. Isti Python skript radi bez ikakvih izmjena na različitim distribucijama i kernel verzijama. Schrijvershof je naveo da exploit pouzdano funkcionira na Ubuntu 22.04, Amazon Linux 2023, SUSE 15.6 i Debianu 12.

Istraživači iz Bugcrowda dodatno su naglasili razliku u odnosu na starije kernel ranjivosti. U njihovoj analizi stoji: „Pouzdanost nije probabilistička i isti skript radi na svim distribucijama. Nema prozora utrke, nema kernel offseta.” Upravo ta predvidljivost čini CopyFail iznimno opasnim za masovnu zlouporabu.

---

Tehnička pozadina CopyFail ranjivosti

CopyFail ranjivost Linuxa proizlazi iz logičke pogreške u kernelovom crypto API-ju. Za razliku od složenih napada temeljenih na oštećenju memorije ili utrkama, ovdje se radi o tzv. „straight-line“ logičkoj grešci, zbog koje exploit pouzdano uspijeva na velikom broju sustava.

Gdje točno nastaje greška

Prema objašnjenju tvrtke Theori, problem se nalazi u authencesn AEAD predlošku koji se koristi za IPsec proširene sekvencijske brojeve. U procesu obrade podataka, kod ne kopira sadržaj kako bi trebao. Umjesto toga, koristi odredišni buffer kao privremeni prostor i pritom prepisuje četiri bajta izvan dopuštenog područja, bez naknadnog vraćanja izvornih vrijednosti.

Kako su istraživači naveli: „‘Kopija’ AAD ESN bajtova ‘ne uspijeva’ ostati unutar odredišnog buffera.” Upravo iz te pogreške dolazi naziv CopyFail.

Zakrpane verzije kernela

Linux kernel tim zakrpao je ranjivost u verzijama 7.0, 6.19.12, 6.18.12, 6.12.85, 6.6.137, 6.1.170, 5.15.204 i 5.10.254. Međutim, u trenutku kada je exploit javno objavljen, većina Linux distribucija još nije imala te zakrpe integrirane u svoje pakete.

Stručnjaci su ovu situaciju opisali kao „zero-day patch gap“, jer je exploit bio javno dostupan dok korisnici nisu imali mogućnost instalacije službenih zakrpa kroz svoje distribucije.

---

Reakcije stručnjaka i posljedice za infrastrukturu

Brojni sigurnosni stručnjaci složili su se da je CopyFail jedna od najtežih Linux kernel ranjivosti posljednjih godina. Jedan od njih opisao ju je kao „najgoru ranjivost tipa ‘napravi-me-root’ u kernelu u posljednje vrijeme”.

Kritike procesa objave ranjivosti

Posebno oštre kritike odnosile su se na način koordinacije objave. Will Dormann, viši glavni analitičar ranjivosti u Tharros Labsu, izjavio je:
Prema riječima Willa Dormanna, višeg glavnog analitičara ranjivosti, „Organizacija koja je radila objavu… odradila je apsolutno užasan posao koordinacije ranjivosti.” Dodao je i: „Ono što mi je zapanjujuće jest da u svom tekstu istovremeno: A) navode četiri pogođena proizvođača i B) govore čitateljima da primijene zakrpe proizvođača. Ali prije objave nisu se potrudili provjeriti ima li itko od tih proizvođača uopće zakrpe. (Nitko ih nema).”

Utjecaj na kontejnere i dijeljene sustave

CopyFail ranjivost Linuxa posebno je opasna za dijeljena okruženja. Kako je Schrijvershof objasnio, pojam „lokalno“ u 2026. godini uključuje svaki kontejner na zajedničkom Kubernetes čvoru, svaki tenant na shared hostingu, svaki CI/CD posao koji izvršava nepouzdani kod te svaku WSL2 instancu na Windows prijenosniku. Svi oni dijele isti kernel, a kernel LPE u potpunosti ruši tu granicu.

Theori je potvrdio da je razvio i exploit koji koristi CopyFail za bijeg iz Kubernetes kontejnera, čime se dodatno potvrđuje ozbiljnost prijetnje.

---

Zaključak

CopyFail ranjivost Linuxa predstavlja jednu od najozbiljnijih sigurnosnih prijetnji Linux kernelu u posljednjih nekoliko godina. Pouzdan exploit koji funkcionira na gotovo svim distribucijama, kombiniran s kašnjenjem u dostupnosti zakrpa, stvorio je situaciju u kojoj je rizik od aktivnog iskorištavanja iznimno visok. Stručnjaci upozoravaju da bi svi korisnici Linuxa, od velikih podatkovnih centara do pojedinačnih korisnika, trebali odmah provjeriti stanje svojih sustava i primijeniti dostupne zakrpe ili preporučene mjere ublažavanja. CopyFail jasno pokazuje koliko brzo jedna kernel ranjivost može srušiti sigurnosne temelje moderne infrastrukture.

INFO