CVE-2026-31431 Copy Fail : LPE root Linux dans CISA KEV

Les faits

La vulnérabilité CVE-2026-31431, surnommée "Copy Fail" par ses découvreurs des équipes Theori et Xint, est une faille d'escalade de privilèges locaux (Local Privilege Escalation, LPE) introduite dans le noyau Linux en 2017 via le commit 72548b093ee3, qui avait basculé les opérations AEAD en mode in-place. Avec un score CVSS v3.1 de 7.8 et un vecteur AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H, la faille est locale mais d'une fiabilité d'exploitation redoutable : n'importe quel utilisateur non privilégié peut obtenir les droits root en quelques secondes, sans interaction d'un autre utilisateur et sans condition de course complexe.

La vulnérabilité réside dans le module algif_aead, l'interface socket du mode AEAD (Authenticated Encryption with Associated Data) de l'API cryptographique du noyau Linux exposée en espace utilisateur via les sockets AF_ALG. Le bug est un défaut de logique dans le template cryptographique d'authentification : lors d'opérations in-place, le module ne vérifie pas correctement le résultat de certaines opérations de copie (d'où le nom "Copy Fail"), ouvrant la voie à une corruption contrôlée du cache de pages du noyau. Selon l'analyse publiée par Xint le 29 avril 2026, l'attaquant provoque une écriture de 4 octets dans le cache de pages mémoire du noyau pointant vers un binaire setuid (comme /usr/bin/su ou /usr/bin/sudo), altérant son contenu de façon à faire exécuter du code arbitraire avec les privilèges root.

L'exploitation est remarquablement simple et fiable. Un proof-of-concept public de 732 octets écrit en Python suffit à déclencher l'escalade de privilèges et a été validé par les équipes de recherche de SafeBreach, Sysdig, Qualys ThreatPROTECT et Unit 42 (Palo Alto Networks) sur Ubuntu 24.04, Amazon Linux 2023, RHEL 10.1 et SUSE 16. L'exploit fonctionne de manière identique sur toutes ces distributions sans modification, illustrant le caractère universel de la faille. La chaîne d'exploitation complète implique : ouverture d'un socket AF_ALG de type SEQPACKET, configuration d'un cipher AEAD, envoi de messages forgés provoquant la corruption via splice(), puis exécution du binaire setuid corrompu pour obtenir un shell root.

L'ancienneté de la faille constitue l'une des données les plus préoccupantes : introduit dans le noyau Linux en 2017 via le commit 72548b093ee3, le bug est resté inaperçu pendant plus de neuf ans. Toute distribution Linux ayant embarqué une version du noyau compilée depuis cette date est potentiellement vulnérable. Cela couvre la quasi-totalité du parc serveur mondial sous Linux, des hébergeurs web aux clusters Kubernetes, en passant par les instances cloud AWS, Azure et GCP. Canonical (Ubuntu) confirme que les versions LTS depuis Ubuntu 18.04 Bionic Beaver sont affectées. CloudLinux, qui gère des millions de serveurs d'hébergement partagé, a publié en urgence une mitigation via ses noyaux live-patching avant même la disponibilité du correctif officiel.

La CISA (Cybersecurity and Infrastructure Security Agency) américaine a inscrit CVE-2026-31431 à son catalogue KEV (Known Exploited Vulnerabilities) le 1er mai 2026, confirmant une exploitation active dans la nature. Les agences civiles fédérales américaines (FCEB) ont reçu l'ordre d'appliquer les correctifs avant le 15 mai 2026 conformément à la directive BOD 22-01. Le CERT-EU a émis un avis de sécurité (CERT-EU Security Advisory 2026-005) qualifiant la vulnérabilité de haute sévérité. Palo Alto Networks Unit 42 a observé des tentatives d'exploitation dans ses télémétries à partir du 2 mai 2026, soit moins de 72 heures après la divulgation publique.

Les indicateurs de compromission (IoC) publiés par Sysdig et Falco Labs permettent une détection au niveau des appels système. Le premier marqueur obligatoire de l'exploit est la création d'un socket AF_ALG de type SEQPACKET depuis un processus n'appartenant pas à la chaîne d'outils de chiffrement disque connue (systemd-cryptsetup, cryptsetup). La règle Falco associée détecte ce pattern en temps réel. Qualys ThreatPROTECT (bulletin du 4 mai 2026) liste également les patterns d'appels splice() inhabituels sur des file descriptors AF_ALG comme indicateur secondaire. L'élévation d'UID vers 0 dans les logs auditd — event SYSCALL avec uid=1000 et euid=0 sur /usr/bin/su ou /usr/bin/sudo — constitue un signe de compromission réussie.

Les correctifs ont été intégrés dans les versions du noyau Linux 6.18.22, 6.19.12 et 7.0. La correction consiste à ajouter une vérification explicite du résultat de l'opération de copie dans le chemin de code du module algif_aead, rendant impossible la corruption contrôlée du cache de pages. Toutes les distributions majeures ont publié des packages de mise à jour en urgence : Ubuntu (USN disponible), Red Hat (RHSA publiée), Debian (DSA émis), SUSE et Amazon Linux dans les 48 heures suivant la divulgation. Pour les systèmes ne pouvant être immédiatement mis à jour, une mitigation consiste à bloquer le chargement du module algif_aead via une règle modprobe.d, au prix de la désactivation des applications dépendant de l'API AF_ALG AEAD en espace utilisateur.

La rapidité de l'ajout au KEV CISA et la disponibilité immédiate d'un exploit public universel de moins de 1 Ko font de CVE-2026-31431 l'une des menaces LPE Linux les plus sérieuses depuis Dirty COW (CVE-2016-5195). Les environnements d'hébergement partagé, les plateformes CI/CD, les clusters Kubernetes avec workloads multi-tenants et les serveurs d'accès distant constituent les cibles prioritaires : dans ces environnements, un attaquant obtenant un premier shell non privilégié via une vulnérabilité applicative dispose avec Copy Fail d'un chemin trivial vers root, rendant toute défense en profondeur ultérieure inopérante.

Impact et exposition

La surface d'attaque de CVE-2026-31431 est considérable : tout serveur Linux compilé depuis 2017 et non patché est potentiellement vulnérable. Les scénarios d'exploitation les plus critiques concernent les environnements multi-utilisateurs (serveurs de développement partagés, hébergement mutualisé), les clusters Kubernetes où un attaquant ayant compromis un pod partageant le noyau hôte peut tenter l'élévation vers root sur le nœud worker, et les instances cloud où des charges de travail distinctes partagent le même kernel.

La condition d'exploitation est un accès local au système : compte shell standard, session SSH avec clé compromise, accès à un conteneur partageant le noyau hôte, ou toute forme d'exécution de code non privilégiée déjà obtenue. CVE-2026-31431 est avant tout un "second stage" dans les chaînes d'attaque : une vulnérabilité RCE initiale fournit le shell non privilégié que Copy Fail transforme en accès root complet en quelques secondes. Une fois root obtenu, l'installation de backdoors persistantes, l'exfiltration de données et l'effacement de traces deviennent triviales.

L'exploitation active confirmée par la CISA dès le 1er mai 2026 et la diffusion large du PoC signifient que le délai de réaction est extrêmement court. Les acteurs malveillants, y compris des groupes de ransomware et des acteurs étatiques, ont très probablement intégré l'exploit dans leurs boîtes à outils. Les organisations n'ayant pas appliqué le patch doivent envisager que tout système Linux exposé à des utilisateurs peu fiables ou dont un compte a pu être compromis est à risque immédiat de compromission complète.

Recommandations immédiates

• Mettre à jour le noyau Linux vers la version 6.18.22, 6.19.12 ou 7.0 — appliquer les mises à jour de sécurité de votre distribution (Ubuntu USN, Red Hat RHSA, Debian DSA, SUSE SUSE-SU, Amazon Linux ALAS)
• Mitigation d'urgence si le patch est impossible immédiatement : bloquer le module algif_aead avec echo "install algif_aead /bin/false" >> /etc/modprobe.d/disable-algif-aead.conf puis redémarrer
• Vérifier si le module est actuellement actif : lsmod | grep algif_aead — si présent, décharger avec modprobe -r algif_aead
• Déployer la règle de détection Falco pour AF_ALG SEQPACKET socket depuis des processus non autorisés (advisory Falco Labs / Sysdig du 30 avril 2026)
• Auditer les logs auditd pour détecter des élévations d'UID suspectes : ausearch -m SYSCALL | grep "euid=0" | grep -v "uid=0"
• Indicateurs de compromission : processus non-root émettant des syscalls socket(AF_ALG, SOCK_SEQPACKET, 0) suivis de splice() sur des file descriptors AF_ALG