Copy Fail CVE-2026-31431 : élévation root Linux exploitée en clair

Les faits

Une vulnérabilité critique d'élévation de privilèges locale, désormais référencée CVE-2026-31431 et baptisée "Copy Fail" par ses découvreurs, vient d'être confirmée comme activement exploitée dans des environnements de production Linux. La faille réside dans le noyau Linux lui-même, plus précisément dans la gestion des copies de pages mémoire lors de certaines opérations d'espace utilisateur vers espace noyau. Une condition de course (race condition) dans le mécanisme de copie permet à un utilisateur local non privilégié de manipuler des pages mémoire normalement réservées au noyau, conduisant à une corruption permettant l'écriture arbitraire et, in fine, l'escalade vers les privilèges root.

La vulnérabilité a été divulguée par l'équipe de recherche Microsoft Security au début du mois de mai 2026. Selon le billet de blog publié par Microsoft, l'exploitation a été observée en environnements cloud multi-locataires, en particulier sur des images Linux fournies par défaut sur AWS, Azure et certains hyperviseurs privés OpenStack. Le périmètre des distributions affectées couvre Red Hat Enterprise Linux (versions 8 et 9), SUSE Linux Enterprise Server (15 SP4 à 15 SP6), Ubuntu (20.04 LTS, 22.04 LTS et 24.04 LTS), Debian (bookworm et trixie) ainsi qu'Amazon Linux 2 et 2023.

Le score CVSS attribué initialement est de 7.8 (élevé), ce qui correspond à la nature locale du vecteur d'attaque. Cependant, dans le contexte d'environnements multi-tenants où plusieurs charges de travail clientes cohabitent sur un même hôte, l'impact réel s'approche d'une compromission critique : un attaquant disposant d'un accès utilisateur à un conteneur Docker, à une machine virtuelle légère type Kata Containers, ou à un service de calcul partagé (CI/CD runners auto-hébergés par exemple) peut potentiellement s'évader vers l'hôte et accéder aux données des autres tenants.

L'exploitation observée par Microsoft semble s'inscrire dans le cadre de campagnes de minage de cryptomonnaies massif sur des infrastructures cloud volées, ainsi que dans une opération de pré-positionnement attribuée à un groupe lié à un État (sans attribution publique formelle). Les indicateurs de compromission incluent la création de comptes utilisateurs avec UID 0 distinct de root, l'insertion de capabilities CAP_SYS_MODULE sur des binaires inattendus, et la présence de modules noyau non signés chargés en mémoire après l'exploitation.

Le patch a été intégré au mainline Linux dans la branche 6.14.x et rétroporté dans la plupart des branches stables (6.1.y, 6.6.y, 6.12.y). Les distributions ont publié leurs paquets corrigés au cours de la semaine du 5 mai 2026 : Ubuntu USN-7654-1, Red Hat RHSA-2026:2381, SUSE SUSE-SU-2026:1542, Debian DSA-5689-1. Amazon Linux a publié son ALAS-2026-2918 le 8 mai. Le CERT-FR a publié l'avis CERTFR-2026-AVI-0549 (Red Hat) et CERTFR-2026-AVI-0548/0547 (Debian et Debian LTS) couvrant cette CVE parmi d'autres correctifs noyau.

Le caractère préoccupant de Copy Fail tient à plusieurs facteurs. D'abord, l'exploitation ne requiert pas de capabilities Linux particulières : un simple compte shell non privilégié suffit. Ensuite, le patch nécessite un redémarrage du système ou un live patching, opération non triviale sur des serveurs de production tournant 24/7. Enfin, l'empreinte de l'exploit est faible : les rootkits noyau modernes installés via Copy Fail peuvent persister à travers des redémarrages si l'attaquant a pu modifier le bootloader ou injecter des modules dans le initramfs.

Sur les déploiements Kubernetes en particulier, l'absence de hardening au niveau de l'hôte sous-jacent (AppArmor/SELinux désactivés, seccomp en mode permissive, absence de gVisor ou Kata Containers) rend l'exploitation triviale depuis un pod compromis. Plusieurs équipes SecOps ayant déployé Falco ou Tetragon en sonde noyau ont rapporté des détections sur des hôtes exposés à des charges de travail tiers ou partenaires.

Pour les infrastructures sensibles, la combinaison Copy Fail + un point d'entrée applicatif (RCE web, container escape mineur, supply chain) devient particulièrement dangereuse : un attaquant qui obtient une exécution de code limité dans un conteneur peut, en quelques secondes, basculer vers une compromission de l'hôte et de l'ensemble des charges de travail co-localisées. C'est ce scénario qui justifie le classement "critique en contexte" malgré le score CVSS officiel de 7.8.

Impact et exposition

Sont exposés tous les systèmes Linux exécutant un noyau non patché des branches mentionnées, particulièrement : les hôtes Kubernetes en production, les serveurs hébergeant des charges de travail clients (hébergeurs, prestataires SaaS), les runners de CI/CD auto-hébergés (GitLab, GitHub Actions self-hosted, Jenkins agents), les machines de développement partagées, et toutes les VM Linux dont des utilisateurs non administrateurs disposent d'un accès shell. Les systèmes embarqués Linux (équipements IoT, NAS, switches managés) sont également concernés si un canal d'accès local existe.

Recommandations

• Appliquer immédiatement les paquets noyau corrigés publiés par votre distribution et redémarrer les systèmes concernés.
• Sur les serveurs critiques 24/7, étudier l'option live patching (Ksplice, kpatch, Canonical Livepatch) si disponible.
• Activer Falco, Tetragon ou eBPF-based monitoring pour détecter les patterns d'exploitation : appels système suspects, création d'UID privilégiés, chargement de modules noyau non attendus.
• Sur Kubernetes : revoir les SecurityContextConstraints, activer seccomp en mode RuntimeDefault, et limiter le runAsUser à des UID non-root pour tous les pods.
• Sur les CI/CD runners auto-hébergés : isoler chaque job dans une VM jetable, ne pas mutualiser les runners entre projets sensibles.
• Auditer la présence éventuelle d'IOC : utilisateurs UID 0 inattendus, modules noyau non signés, modifications du initramfs.