Nové zranitelnosti v katalogu CISA KEV – vydání 19b
Americká agentura CISA zařadila zranitelnost CVE-2026-31431, známou také jako Copy Fail, do katalogu Known Exploited Vulnerabilities (KEV). Tento katalog CISA provozuje jako autoritativní přehled zranitelností, u nichž bylo potvrzeno zneužívání v praxi, a doporučuje jej využívat jako jeden z hlavních vstupů pro prioritizaci vulnerability managementu.
Zranitelnost se týká linuxového jádra, konkrétně oblasti související s kryptografickým rozhraním AF_ALG / algif_aead. Podle veřejně dostupných analýz umožňuje lokálnímu neprivilegovanému uživateli eskalovat oprávnění až na úroveň root, tedy získat plnou kontrolu nad systémem. Zranitelnost je významná zejména tím, že dopadá na široké spektrum linuxových distribucí a prostředí, včetně serverových, cloudových, kontejnerových a Kubernetes workloadů.
Přestože nejde o zranitelnost vzdáleně zneužitelnou samostatně bez předchozího přístupu, její závažnost spočívá v možnosti navázat na prvotní kompromitaci systému. Útočník, který již získal omezený přístup například přes kompromitovaný účet, zranitelnou aplikaci, CI/CD úlohu nebo kontejner, může zneužitím této chyby dosáhnout plných administrátorských oprávnění. V prostředích s více uživateli, automatizovanými úlohami nebo nedůvěryhodnými workloady proto představuje tato zranitelnost výrazné riziko.
Zneužívání ransomwarem CISA zatím v této položce neoznačuje jako potvrzené, nicméně samotné zařazení do katalogu KEV znamená, že zranitelnost je aktivně zneužívána a měla by být řešena prioritně. CISA stanovila termín nápravy do 15. 5. 2026, což je důležitý signál i pro organizace mimo americkou federální správu.
Doporučená akce: aplikujte záplatu podle pokynů dodavatele příslušné linuxové distribuce. U běžných distribucí, jako jsou Red Hat, SUSE, Ubuntu, Debian nebo Amazon Linux, je vhodné ověřit dostupnost aktualizovaného balíku jádra, provést standardní aktualizaci a následně naplánovat restart systému. U systémů s vlastním buildem kernelu je nutné zapracovat odpovídající upstream patch a nasadit nový kernel image. V cloudových prostředích je třeba ověřit, zda poskytovatel používá managed kernel, zda bude záplata nasazena automaticky a zda je vyžadován restart virtuálních strojů nebo nodů.
V prostředí kritické infrastruktury, kde restart serverů, průmyslových bran nebo podpůrných systémů často vyžaduje plánovanou odstávku, je vhodné před nasazením záplat vyhodnotit i dočasná kompenzační opatření. Mezi ně může patřit omezení interaktivního přístupu na servery, revize účtů s možností spouštět kód, posílení monitoringu privilegovaných příkazů, kontrola segmentace sítě a ověření, zda zranitelné systémy nejsou dostupné z méně důvěryhodných částí infrastruktury.
Zvláštní pozornost by měly věnovat organizace provozující kontejnery, CI/CD platformy, sdílené linuxové servery a systémy, kde se spouští kód od více týmů nebo dodavatelů. V těchto prostředích se lokální eskalace oprávnění může stát klíčovým článkem útoku, který útočníkovi umožní přejít od omezeného přístupu k úplné kompromitaci hostitelského systému.
Provozovatelé povinní podle NIS2 a českého zákona o kybernetické bezpečnosti by měli tuto zranitelnost zařadit mezi prioritní položky v rámci řízení zranitelností a řízení rizik. Vedle samotného nasazení záplat je vhodné doložit i rozhodnutí o prioritizaci, plán odstávek, přijatá kompenzační opatření a následné ověření, že zranitelné verze kernelu již nejsou v prostředí používány.
Zdroj
Další články
Nové zranitelnosti v katalogu CISA KEV – vydání 19b
Italský Garante: hotely a B&B nesmí dlouhodobě uchovávat kopie občanských průkazů hostů, posílá oznámení do oboru po sérii incidentů
