潛伏九年！Linux 核心高危漏洞「Copy Fail」遭利用，CISA 緊急列入 KEV 清單

影響 2017 年後幾乎所有 Linux 主流發行版的高危核心漏洞本周遭到公開揭露，資安研究人員確認該漏洞已被攻擊者主動利用，潛伏時間長達九年。美國網路安全暨基礎設施安全局（CISA）於上週五將其列入已知遭利用漏洞（KEV）清單，並要求聯邦民事行政機關（FCEB）於 2026 年 5 月 15 日前完成修補。

漏洞概況：三段無害的程式碼變更，交疊出致命缺陷

此漏洞由攻擊性安全廠商 Theori 的漏洞研究員 Taeyang Lee 發現，編號 CVE-2026-31431，CVSS 評分為 7.8（高風險），Theori 將其命名為「Copy Fail」。Lee 公開表示，他透過 Theori 旗下 AI 驅動滲透測試平台 Xint.io 的原始碼分析工具 Xint Code 發現這項漏洞。

根據 Theori 的技術揭露，Copy Fail 並非單一程式碼錯誤，而是三次獨立且各自無害的 Linux 核心變更交互作用下產生的邏輯錯誤（logic bug）：2011 年加入的 authencesn 驗證加密（AEAD）封裝模組、2015 年引入的 AF_ALG AEAD 通訊端支援，以及 2017 年在 algif_aead.c 加入的就地優化。

漏洞本質在於 authencesn 加密模板中的邏輯缺陷，允許無特權的本機使用者對系統上任意可讀取檔案的分頁快取寫入 4 位元組受控資料。由於分頁快取是可執行檔在記憶體中的版本，攻擊者可在不修改磁碟原始檔案的情況下，動態竄改受信任的高權限程式（例如 /usr/bin/su），進而取得 root 等級的完整控制權。

Google 旗下雲端安全公司 Wiz 指出，這種手法使攻擊者能夠在執行時期注入程式碼，卻不觸動磁碟上的任何檔案，使依賴磁碟檔案監控的傳統資安工具完全失效。

攻擊門檻低、可靠度高，容器環境風險尤為嚴峻

與過去著名的 Dirty Cow 及 Dirty Pipe 本機提權漏洞相比，Copy Fail 無需贏得競爭條件，一個僅 732 位元組的 Python 腳本即可穩定觸發提權，且可在絕大多數 2017 年後發行的 Linux 版本上重複執行。

卡巴斯基的分析進一步指出，Copy Fail 對容器化環境構成嚴重威脅。預設情況下，Docker、LXC 與 Kubernetes 允許容器內的程式存取宿主機核心的 AF_ALG 子系統，一旦 algif_aead 模組已載入，攻擊者即可從容器內部突破隔離，直接取得宿主機的實體控制權。

Theori 建議管理員依以下優先順序進行修補：多租戶 Linux 系統、持續整合（CI）執行器、雲端 SaaS 平台、容器叢集，其次才是標準 Linux 伺服器與單人工作站。

Microsoft Defender 安全研究團隊已觀察到初步測試活動，並預測未來數日內攻擊者的利用行為將顯著增加。開源社群中亦已出現以 Go 及 Rust 語言改寫的 PoC 版本，卡巴斯基對此提出警告。

立即行動：修補版本與暫行緩解措施

目前修補已合併至 Linux 核心版本 6.18.22、6.19.12 及 7.0。Debian、Ubuntu、Red Hat Enterprise Linux（RHEL）、Amazon Linux 及 SUSE 等主流發行版均已釋出包含修補的核心套件。

對於暫時無法更新核心的組織，Theori 提供兩項緩解措施：透過安全運算封鎖 AF_ALG 通訊端的建立；或將 algif_aead 模組加入黑名單。

CISA 指出，聯邦民事行政機關未能如期修補者，須落實網路隔離與存取控制作為暫行防護，但正式修補仍為最終必要措施。