美國 CISA 發佈「史上最強」Linux 核心漏洞「Copy Fail」警報... 雲端及加密貨幣基礎設施安全告急

Linux 系統作為數碼資產交易所和區塊鏈節點運行的核心基礎設施，近期發現致命安全缺陷，令加密貨幣業界陷入緊張。2026 年 5 月 1 日，美國網絡安全和基礎設施安全局 (CISA) 將 Linux 核心的「Copy Fail (CVE-2026-31431)」漏洞加入「已知被利用漏洞 (KEV)」目錄。這是在該缺陷公開僅 48 小時後採取的罕見行動。

安全研究人員評價該漏洞為「瘋狂級別 (insane)」，並警告稱普通用戶僅憑 10 行 Python 程式碼，就有 100% 的機率獲取系統最高權限（Root 權限）。截至 2026 年 5 月 3 日，各大 Linux 發行版均需立即進行修補。

CISA 已命令聯邦機構自 2026 年 5 月 1 日起立即修復此漏洞。隨著實際攻擊案例被證實，當局已制定緊急修補時間表，反映了 Linux 生態系統整體安全威脅的嚴重性。特別是對於像加密貨幣交易所這樣依賴 Linux 伺服器的金融服務基礎設施，遭受攻擊的可能性正不斷增加。

「Copy Fail 比以往的本地權限提升漏洞更具實用性和可移植性，幾乎適用於所有主要的發行版。這將被記錄為 Linux 安全史上最危險的缺陷之一。」

根據安全公司 Xint Code 研究團隊的說法，此攻擊僅需 732 位元組大小的腳本即可執行。與依賴機率的傳統漏洞不同，Copy Fail 利用的是確定性邏輯錯誤，因此可以在不導致系統崩潰的情況下穩定奪取權限。研究人員指出，該漏洞的利用範圍可能比「Dirty Pipe」更廣。

Linux 核心加密模板的邏輯缺陷

該漏洞源於 Linux 核心「authencesn」加密模板內的資源傳輸邏輯錯誤。攻擊者可以結合「AF_ALG」介面和「splice()」系統調用，強制將 4 位元組數據寫入任何具有讀取權限文件的頁面快取 (Page Cache)。藉此，攻擊者可以修改 setuid 二進制文件或操縱系統設定文件，輕鬆獲取 Root 權限。

• Ubuntu：已於 2026 年 4 月 30 日完成安全修補程式發佈，並建議用戶立即更新。
• AlmaLinux：已於 2026 年 5 月 1 日公開測試用修補程式，並正加速在企業環境中應用。
• 臨時措施：對於無法套用修補程式的系統，應禁用「algif_aead」核心模組以阻斷攻擊路徑。
• 監控：系統管理員應重點監控外部程序是否創建 AF_ALG SEQPACKET 套接字 (Socket)。

Tenable 等安全專家正將 Copy Fail 與過去的「Dirty Pipe」或「Dirty Cow」進行比較。由於 Copy Fail 不需要競態條件 (Race Condition) 或複雜的核心偏移量計算，因此被認為比以往的漏洞更危險。特別是其攻擊成功率高達 100%，令安全業界感到震驚。

多租戶雲端環境的風險尤其受到關注。Bugcrowd 指出，由於頁面快取在宿主機和容器之間共享，一旦一個容器被入侵，使用同一宿主機的所有其他租戶都可能面臨危險。這對於使用共享基礎設施的虛擬資產服務提供商來說，可能是致命的威脅。

系統管理員後續應對指南

截至 2026 年 5 月 3 日，系統管理員必須抓緊更新整個基礎設施的核心，以遵守 CISA 設定的修補期限。特別是在可以執行外部程式碼的環境中，建議立即採取模組阻斷措施。CISA 亦不排除該漏洞被國家背景黑客組織利用的可能性。

安全社群正密切關注，由於此次事件源於 Linux 核心複雜子系統間的相互作用，未來可能會發現更多類似的邏輯缺陷。持續監控和快速套用修補程式是保護雲端資產和加密貨幣基礎設施的唯一方法。管理員應實時查看各發行版發佈的安全公告。