Lỗ hổng bảo mật Copy Fail, được mã hiệu hóa là CVE-2026-31431, là một trong những lỗ hổng mới được phát hiện trên hệ điều hành Linux gần đây. Được phân loại là một lỗ hổng nghiêm trọng, Copy Fail có khả năng tạo ra nguy cơ cho hệ thống máy tính và dữ liệu trên nó. Lỗi này có thể được tin tặc tận dụng để có quyền truy cập không được ủy quyền vào hệ thống và có thể đọc hoặc thậm chí sửa đổi dữ liệu. Điều đáng lo ngại là Copy Fail có thể ảnh hưởng đến các ứng dụng và dữ liệu quan trọng trên hệ thống Linux, gây ra những hậu quả không lường trước được.

 

Thông tin lỗi bảo mật (CVE-2026-31431) - Copy Fail

Vào ngày 29 tháng 4 năm 2026, nhóm nghiên cứu bảo mật Theori (thông qua công cụ Xint Code) đã công bố lỗ hổng CVE-2026-31431, được đặt tên là Copy Fail. Đây là lỗ hổng leo thang đặc quyền cục bộ (Local Privilege Escalation — LPE) trong nhân Linux, ảnh hưởng toàn bộ các bản phân phối lớn được phát hành kể từ năm 2017.

Với lỗi bảo mật này, một người dùng (user) thông thường có thể root chỉ với một đoạn mã khai thác Python 732 byte . Mã khai thác đã được công khai trên Internet và được xác nhận hoạt động 100% trên mọi phiên bản Linux phát hành từ năm 2017 đến nay.

 

Tại sao Copy Fail lại nguy hiểm hơn

Lỗi bảo mật	Dirty Cow (2016)	Dirty Pipe (2022)	Copy Fail (2026)
Khai thác	Race condition	Pipe buffer	Logic thẳng
Độ tin cậy	Không ổn định	Trung bình	100% ổn định
Phiên bản	Đặc thù	Đặc thù	Tất cả distro
Kích thước Poc	Lớn	Vừa	732 byte

Đặc điểm nổi bật

• Không cần race condition — Khai thác theo đường thẳng, kích hoạt đáng tin cậy 100% mỗi lần chạy
• Cực kỳ portable — Script duy nhất hoạt động trên mọi bản phân phối, không cần biên dịch hay kiểm tra phiên bản
• Vô hình với forensics — Ghi trực tiếp vào page cache (in-memory), không để lại vết trên disk, không bị công cụ giám sát file phát hiện
• Chỉ cần standard library — Sử dụng các module chuẩn của Python 3.10+ (os, socket, zlib), không cần cài thêm thư viện nào
• Đã có trong CISA KEV — Microsoft Defender xác nhận lỗ hổng đã được thêm vào danh sách Known Exploited Vulnerabilities của CISA
   

 

Phạm vi ảnh hưởng

Phiên bản kernel bị ảnh hưởng từ 4.14 (2017) đến 7.0-rc, cụ thể:

Kernel 4.14 → 7.0-rc              # Tất cả
Kernel 6.18.x < 6.18.22           # Trước bản vá
Kernel 6.19.x < 6.19.12           # Trước bản vá
LTS 6.12.x, 6.6.x, 5.15.x, 5.10.x # Backport bị ảnh hưởng

Kiểm tra bằng lệnh: uname -r

Môi trường bị ảnh hưởng:

1. MỨC ĐỘ : CỰC KỲ CAO
   • Shared Hosting (cPanel/ DirectAdmin/ Plesk)
     Nhiều khách hàng cùng chạy trên một kernel. Bất kỳ tài khoản nào cũng có thể leo thang lên root và ảnh hưởng toàn bộ server.
   • Kubernetes / Container đa tenant
     Container chia sẻ kernel host. Workload độc hại trong pod có thể thoát container và chiếm quyền node host.
   • CI/CD runner (GitHub Actions, GitLab CI...)
     Thường chạy code từ pull request bên ngoài. Kẻ tấn công gửi PR độc hại để khai thác runner và leo thang lên host.
      
2. MỨC ĐỘ : CAO
   • Máy chủ database
     Tài khoản dịch vụ database (mysql, postgres) thường có quyền thấp. Copy Fail cho phép leo thang lên root và đọc toàn bộ data.
   • Server có SSH foothold
     Kẻ tấn công đã có tài khoản shell bình thường (qua credential leak, brute force...) dễ dàng leo root.
   • Máy trạm dev Linux
     Developer chạy code từ nguồn không tin cậy (open source, npm packages độc hại) có thể bị khai thác local.
      
3. MỨC ĐỘ : TRUNG BÌNH
   • VPS cá nhân (1 người dùng)
     Rủi ro thấp hơn nếu không chạy dịch vụ public-facing. Nhưng vẫn cần vá vì dịch vụ bị khai thác có thể dẫn đến leo quyền.
   • WSL2 (Windows Subsystem for Linux)
     Có kernel Linux riêng. Exploit hoạt động bên trong môi trường WSL, nhưng bị cô lập với Windows host phần lớn.
   • Embedded Linux / IoT
     Bị ảnh hưởng về mặt kỹ thuật nhưng ít có kịch bản khai thác thực tế do thường không có shell đa người dùng.

 

Phương án xử lý

Giải pháp tạm thời (mitigation nhanh):

1. Bước 1: Vô hiệu hóa module algif_aead :
   echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
    
2. Bước 2: Unload module nếu đã được tải
   rmmod algif_aead 2>/dev/null || true
   Nếu lệnh báo “Resource temporarily unavailable” hoặc “Module is in use”, có nghĩa là có ứng dụng đang dùng, thì tim process đang dùng (lsof | grep AF_ALG) và stop/restart nó.
    
3. Bước 3: Kiểm tra lại bằng lệnh sau
   grep -E '^algif_aead ' /proc/modules && echo "still loaded" || echo "not loaded"
   Đảm bảo kết quả nhận được là not loaded

Lưu ý: Hành động này không ảnh hưởng đến SSH, TLS, LUKS hay OpenSSL thông thường.

 

Giải pháp ưu tiên: Cập nhật kernel

• Áp dụng kernel patch chính thức từ nhà cung cấp distro của bạn. Patch revert tối ưu hóa năm 2017 và đã có trong các phiên bản kernel mới (ví dụ: 6.18.22+, 6.19.12+, các LTS tương ứng).
  • Ubuntu/Debian: 
    sudo apt update && sudo apt upgrade -y
  • RHEL/AlmaLinux/Rocky: 
    sudo dnf/yum update
• Sau đó reboot và kiểm tra phiên bản kernel hiện tại bằng lệnh uname -r.

 

Các khuyến nghị bổ sung:

• Giám sát và phát hiện khai thác qua EDR tools (một số vendor đã có rule phát hiện).
• Hạn chế quyền truy cập của user thông thường (least privilege).
• Sử dụng các giải pháp kernel hardening (AppArmor, SELinux, seccomp...).
• Trong container/Kubernetes: Sử dụng user non-root, Pod Security Policies, và cập nhật node kernel thường xuyên.
• Kiểm tra và reboot sau khi update để áp dụng kernel mới.