Lỗ hổng CVE CVE-2026-31431, còn được gọi là Copy Fail, đã được CISA đưa vào Known Exploited Vulnerabilities (KEV) catalog do khả năng bị khai thác thực tế trên hệ thống Linux. Theo CISA KEV catalog, các tổ chức cần vá ngay hoặc ngừng sử dụng các hệ thống bị ảnh hưởng. Đây là một lỗ hổng CVE có mức độ nghiêm trọng cao, với CVSS 7.8 và phân loại CWE-699 (Incorrect Resource Transfer Between Spheres).
Phạm vi ảnh hưởng của lỗ hổng CVE-2026-31431
Lỗ hổng CVE này nằm trong module algif_aead của phân hệ mã hóa AF_ALG trên Linux kernel. Lỗi logic xuất hiện trong authentication cryptographic template, dẫn đến xử lý bộ nhớ không đúng khi thực hiện các thao tác in-place.
Lỗ hổng ảnh hưởng đến nhiều bản phân phối Linux lớn đang chạy kernel được xây dựng từ năm 2017, bao gồm Ubuntu 24.04 LTS, Amazon Linux 2023, Red Hat Enterprise Linux 10.1, SUSE 16, Debian, Fedora và Arch Linux. Đây là một cảnh báo CVE có phạm vi rộng, đặc biệt trong môi trường máy chủ và container.
Cơ chế khai thác
Chuỗi khai thác tận dụng tương tác giữa AF_ALG socket interface, system call splice() và cơ chế xử lý lỗi sai trong quá trình sao chép thất bại. Kết quả là kẻ tấn công có thể tạo ra một overwrite 4-byte có kiểm soát trong kernel page cache.
Hậu quả của lỗ hổng CVE này là khả năng làm hỏng setuid binaries và dữ liệu nhạy cảm do kernel quản lý, hoàn toàn trong kernel space và vượt qua các cơ chế bảo vệ ở user space. Điều này làm tăng mạnh nguy cơ bảo mật và mở đường cho chiếm quyền điều khiển hệ thống.
Khai thác zero-day và leo thang đặc quyền
Điểm đáng chú ý của lỗ hổng CVE này là khả năng khai thác rất thực tế. Một script Python chỉ 732 byte là đủ để người dùng cục bộ không có đặc quyền leo thang lên root. Đây là một dạng khai thác zero-day có thể được dùng ngay sau khi phát hiện, đặc biệt nguy hiểm trong môi trường đa người dùng và container.
Lỗ hổng được công bố công khai vào 29/04/2026 nhưng nguồn gốc của nó bắt đầu từ các thay đổi riêng lẻ trong các năm 2011, 2015 và 2017. Mỗi thay đổi ban đầu đều có vẻ vô hại, nhưng khi kết hợp lại đã tạo ra điều kiện cho lỗ hổng zero-day này.
Rủi ro trong container và hạ tầng cloud
Lỗ hổng CVE này đặc biệt đáng lo ngại trong các môi trường Kubernetes, Docker CI runners và hạ tầng cloud. Khai thác không yêu cầu:
- Quyền root trong container
- Kernel modules
- Kết nối mạng
Vì vậy, đây là một cảnh báo CVE có thể bị lạm dụng như công cụ hậu khai thác sau khi hệ thống đã bị xâm nhập ban đầu. Trong thực tế, điều này làm tăng rủi ro an toàn thông tin cho workload container và hệ thống on-premises.
Bản vá bảo mật và biện pháp khắc phục
CISA đã thêm CVE-2026-31431 vào KEV catalog vào ngày 01/05/2026 và đặt hạn chót khắc phục bắt buộc là 15/05/2026 đối với các cơ quan dân sự liên bang. Các bản vá đã có trong các phiên bản Linux kernel 6.18.22, 6.19.12 và 7.0.
Tổ chức đang sử dụng Red Hat Enterprise Linux có thể áp dụng các biện pháp giảm thiểu ở mức cấu hình trong khi chờ triển khai bản vá. CISA cũng khuyến nghị áp dụng ngay các biện pháp do nhà cung cấp phát hành, tuân thủ hướng dẫn BOD 22-01 cho dịch vụ cloud hoặc ngừng sử dụng hệ thống chưa được vá.
Hành động kiểm tra hệ thống
Các đội an ninh cần rà soát phiên bản Linux kernel trên toàn bộ cloud workloads, container environments và on-premises infrastructure. Việc kiểm tra nên ưu tiên các hệ thống có khả năng bị tấn công cục bộ hoặc có quyền truy cập người dùng không tin cậy. Đây là yêu cầu quan trọng để giảm mối đe dọa mạng từ lỗ hổng CVE đang bị khai thác ngoài thực tế.
uname -r
rpm -q kernel
apt list --installed | grep linux-image
IOC và dấu hiệu cần theo dõi
Tài liệu gốc không cung cấp IOC theo dạng hash, domain hay IP. Tuy nhiên, các dấu hiệu vận hành liên quan đến lỗ hổng CVE này nên được ưu tiên giám sát:
- Tiến trình người dùng cục bộ thực hiện thao tác bất thường với AF_ALG
- Gọi splice() liên tục kèm lỗi sao chép trong kernel
- Hành vi leo thang đặc quyền lên root
- Biến động bất thường trên setuid binaries hoặc kernel page cache
- Hoạt động đáng ngờ trong container không có quyền đặc biệt
Liên hệ giữa AF_ALG và lỗi ghi đè bộ nhớ
Chuỗi tấn công của lỗ hổng CVE này dựa trên xử lý sai ở lớp mã hóa kernel. Khi lỗi copy xảy ra, kernel không xử lý trạng thái bộ nhớ đúng cách, dẫn đến một ghi đè nhỏ nhưng có kiểm soát. Trong bối cảnh an toàn thông tin, kiểu lỗi này thường rất nguy hiểm vì nó cho phép tác động trực tiếp lên cấu trúc dữ liệu nội bộ của kernel.
Do đó, update vá lỗi kernel là biện pháp bắt buộc, không nên trì hoãn. Với các hệ thống chưa thể nâng cấp ngay, cần cô lập workload rủi ro cao và kiểm tra thường xuyên phiên bản kernel đang chạy để giảm khả năng bị khai thác.
