Keturi zero-day per vieną mėnesį. AI randantis branduolio klaidas per valandą. Ir vienas labai nepatogus klausimas: ar Linux iš tiesų saugus?
Įžanga: Mes gyrėmės per ilgai Kiekvienas Linux vartotojas žino tą jausmą. Windows draugas skundžiasi virusu, o tu ramiai gurkšnoji kavą ir galvoji: „Man tokių problemų nėra." Mes juokdavomės iš antivirusinių programų. Mes su panieka žiūrėjome į Windows atnaujinimų iššokančius langus. „Gal išbandyk tikrą operacinę sistemą" — sakydavome. 2026 metų gegužė tą pyktį tiesiog ištrynė. Per vieną mėnesį Linux bendruomenė gavo ne vieną, ne du — o keturis rimtus zero-day pažeidžiamumus, kurių kiekvienas suteikė visišką root prieigą prie sistemos. Ir tarsi to būtų negana — pirmąjį iš jų surado ne žmogus, o dirbtinis intelektas, kuriam prireikė maždaug vienos valandos.
🤖 Copy Fail: Kai AI tampa saugumo tyrėju Viskas prasidėjo 2026 m. balandžio 29 d., kai Theori — puolančiojo saugumo tyrimų firma — paskelbė atradimą, kuris sukrėtė visą Linux ekosistemą. Theori komanda naudojo savo AI pagrįstą kodo audito įrankį Xint Code, kad surastų šią paslėptą klaidą po to, kai pradinis tyrėjas Taeyang Lee suteikė pradinę kryptį. Pasak Theori rašytinio atskleidimo, AI per maždaug valandą nuskanavęs Linux branduolio kriptografinį posistemį su „vienu operatoriaus raginimo tekstu, be jokio papildomo pritaikymo" — ir rado tai, ko niekas nerado devynerius metus. Private VPN serversMOX CVE-2026-31431, žinoma kaip „Copy Fail", yra Linux branduolio pažeidžiamumas, leidžiantis neteisėtą privilegijų eskalavimą, atskleistas Theori 2026 m. balandžio 29 d. Klaida leidžia tai padaryti per 10 eilučių Python kodo. Private VPN servers Techniškai: pažeidžiamumas glūdi Linux branduolio AF_ALG kriptografiniame posistemyje — logikos klaida autentifikavimo kriptografiniame šablone, sukelianti netinkamą atminties tvarkymą vietinių operacijų metu. Atakos grandinė išnaudoja AF_ALG lizdo sąsajos, splice() sistemos iškvietimo ir netinkamo klaidų tvarkymo sąveiką per nepavykusias kopijavimo operacijas — tai lemia kontroliuojamą 4 baitų perrašymą branduolio puslapio talpykloje. NetBird Keturi baitai. Tik keturi baitai — ir sistema tavo. Pažeidžiamumas paveikia visus pagrindinius Linux platinimus, naudojančius branduolius nuo 2017 metų: Ubuntu 24.04 LTS, Amazon Linux 2023, Red Hat Enterprise Linux 10.1, SUSE 16, Debian, Fedora ir Arch Linux. NetBird Kiek tai buvo verta tamsiojoje rinkoje? Zerodium viešasis kainų sąrašas mokėjo iki 500 000 dolerių už aukštos kokybės Linux zero-day, kol platforma užsidarė 2025 metų pradžioje. Šiandieniniai pilkosios rinkos pirkėjai kaip Crowdfense vykdo programas nuo 10 000 iki 7 milijonų dolerių riboje, o aukščiausias šio diapazono kraštas rezervuotas tiksliai tokio tipo universaliems, patikimiems primityvams. Ir AI tai rado per valandą. MOX
💥 Dirty Frag: Kol dar lipo pleistrai — kita skylė Praėjus vos savaitei po Copy Fail, saugumo tyrėjas Hyunwoo Kim paskelbė „Dirty Frag" — naujausią iš augančios linijos niokojančių Linux privilegijų eskalavimo pažeidžiamybių, kurią saugumo tyrėjai jau vadina viena pavojingiausių branduolio klaidų per daugelį metų. WZ-IT Kaip ir Dirty Pipe ir Copy Fail prieš tai, šis išnaudojimas piktnaudžiauja Linux puslapio talpyklos elgsena, perrašydamas apsaugotą atmintį būdais, kurių branduolys niekada neturėtų leisti. Bet kokiam vietiniam vartotojui suteikiama visiška root prieiga beveik akimirksniu. WZ-IT Pažeidžiamybių grandinę sudaro dvi atskiros klaidos: „xfrm-ESP puslapio talpyklos rašymas", įvestas 2017 m. branduolio įraše, ir „RxRPC puslapio talpyklos rašymas", pridėtas 2023 m. Kartu jie aplenka apsaugas beveik visuose pagrindiniuose Linux platinimuose, įskaitant Ubuntu, Fedora, Arch, RHEL, AlmaLinux, CentOS Stream ir OpenSUSE. Tyrėjai taip pat patvirtino sėkmingą išnaudojimą WSL2 aplinkoje. WZ-IT Kas dar blogiau: embargo buvo sulaužytas prieš tai, kai Linux prižiūrėtojai ir platinimų kūrėjai suspėjo paruošti pleistrus. Tai reiškia, kad kodo išnaudojimas jau buvo viešas, o milijonai sistemų liko neapsaugotos. WZ-IT Skirtingai nei daugelis branduolio išnaudojimų, kurie remiasi lenktynėmis ar laiko triukais, Dirty Frag yra deterministinė logikos klaida. Praktiškai tai reiškia labai patikimą išnaudojimą. Nepavykę bandymai paprastai nesugriauna sistemos, todėl pakartotinės atakos yra sunkiai aptinkamos ir lengvai automatizuojamos. WZ-IT
🔄 DirtyDecrypt, Fragnesia, ssh-keysign-pwn: Lavina nesustoja Copy Fail buvo atskleistas 2026 m. balandžio 29 d. Po savaitės sekė Dirty Frag. Dar po kiek laiko — DirtyDecrypt (CVE-2026-31635), kurį Zellic ir V12 saugumo komanda atrado gegužės 9 d. ir kurį vertina kaip Copy Fail variantą. birdhost Gegužės 15 d. pasipylė ketvirtas smūgis — CVE-2026-46333, pavadintas „ssh-keysign-pwn", randamas ptrace posistemyje. Tai buvo ketvirtas pagrindinis branduolio pažeidžiamumas, aptiktas per vieną mėnesį. Private VPN servers Bendruomenė pradėjo kelti nepatogius klausimus. Kai kurie kūrėjai pirštu rodė į LLM modelius, kurie naršo branduolio įrašus ir per kelias minutes apgręžia saugumo pleistrus. Vienas komentatorius taikliai pastebėjo: „Problema ta, kad dabar kiekvienas gali būti saugumo tyrėjas su Claude prenumerata." Private VPN servers
🔍 Kodėl klaidos slypi devynerius metus? Copy Fail atvejis atskleidžia sistemingą problemą. Pažeidžiamumas buvo įvestas per tris atskirus, atskirai nekenksmingus pakeitimus, padarytus Linux branduolyje 2011, 2015 ir 2017 metais — nė vienas jų atskirai nekėlė įtarimų. NetBird Kriptografijos posistemis buvo intensyviai tikrinamas kriptografiniu požiūriu — ieškant IND-CPA saugumo, šoninių kanalų ir parametrų validacijos savybių. Copy Fail iš esmės buvo apie tai, iš kur atėjo atmintis ir ar branduolys apskritai turėtų per ją rašyti. Tai kitokio tipo klausimas, ir tikriausiai todėl jis liko nepastebėtas. MOX Kitaip tariant: žmonės tikrinami tai, ko ieško. AI tikrina viską.
🛡️ Ką daryti dabar — praktinis vadovas Copy Fail (CVE-2026-31431): Pataisymai prieinami Linux branduolio versijose 6.18.22, 6.19.12 ir 7.0. CISA nurodė visoms organizacijoms nedelsiant taikyti tiekėjo pateiktus pataisymus ir audituoti Linux branduolio versijas visoje debesų, konteinerių ir vietinėje infrastruktūroje, nes aktyvus išnaudojimas laukinėje gamtoje jau patvirtintas. Encapsulated Dirty Frag (CVE-2026-43284 / CVE-2026-43500): Administratoriams rekomenduojama nedelsiant išjungti esp4, esp6 ir rxrpc branduolio modulius, nes šie komponentai yra tiesiogiai susiję su pažeidžiamomis kodo sekomis. Laimei, daugumos darbalaukio vartotojų ir serverių šie moduliai nenaudojami, nebent jie konkrečiai naudoja IPSec ar RxRPC tinklus. WZ-IT Bendra rekomendacija: bash# Patikrink savo branduolio versiją uname -r
Ubuntu/Debian — atnaujink
sudo apt update && sudo apt upgrade
RHEL/CentOS
sudo dnf update kernel
🤔 Ar Linux tapo nesaugus? Ne. Bet mitas apie „neįsilaužiamumą" tikrai mirė. „Vietinis privilegijų eskalavimas" skamba sausai, tad paaiškinkime: tai reiškia, kad užpuolikas, kuris jau turi kokį nors būdą vykdyti kodą mašinoje — net kaip paprasčiausias neturintis privilegijų vartotojas — gali save pakelti iki root lygio. Hacker News Tai vietinio privilegijų eskalavimo klaida, o tai reiškia, kad užpuolikas turi turėti esamą prieigą prie sistemos. Jei naudojate apsaugotą serverį tik su patikimais vartotojais, jūsų rizika yra maža. Tikras pavojus kyla grandinant išnaudojimus: užpuolikas gali naudoti nuotolinio kodo vykdymo pažeidžiamumą, kad įgytų neturinčio privilegijų prieigą, o tada pasinaudoti LPE, kad pasiektų root. Private VPN servers Tikroji pamoka čia ne apie Linux silpnumą — o apie tai, kad AI fundamentaliai pakeis saugumo tyrimų kraštovaizdį. Mes esame laukinio vakaro tipo dienose dabar, kai AI randa klaidas. Šiuo metu tai šiurkštu. Bet vėliau būsime daug saugesnėje vietoje. Hacker News Tuo pačiu principu, kuriuo AI randa klaidas gynėjams — tas pats AI gali rasti klaidas ir užpuolikams. Lenktynės prasidėjo.