Nguồn: OVHcloud Blog
Tóm tắt
Copy.Fail (CVE-2026-31431) là một zero-day nghiêm trọng trong Linux kernel, được Theori công bố ngày 29/4/2026. Lỗ hổng ảnh hưởng đến toàn bộ distro Linux kể từ năm 2017 và cho phép leo thang đặc quyền (privilege escalation) đáng tin cậy, không phụ thuộc vào race condition hay kernel address leak.
Root cause là logic flaw trong module algif_aead — giao diện crypto AF_ALG của kernel. Kẻ tấn công có thể ghi dữ liệu có kiểm soát vào Linux page cache (bộ nhớ biểu diễn các binary hệ thống), cho phép tạm thời hijack binary như /usr/bin/su mà không để lại dấu vết trên disk. Điều này làm cho forensics trở nên rất khó, vì chỉ RAM bị thay đổi.
Trong môi trường Kubernetes, đây là mối đe dọa đặc biệt nghiêm trọng: một container bị compromise có thể escape ra host, CI/CD job độc hại có thể root runner, và multi-tenant infrastructure có thể bị compromise hoàn toàn. OVHcloud đã phát hành DaemonSet manifest để mitigate bằng cách disable module algif_aead khỏi kernel trên tất cả nodes, với lệnh rmmod algif_aead và thêm vào modprobe blacklist.
Biện pháp mitigate tạm thời này có thể áp dụng ngay trong khi chờ kernel patch chính thức. Lưu ý rằng nếu cluster đã bị exploit trước khi áp dụng DaemonSet, mitigation không có tác dụng retroactive.