微软和美国网络安全与基础设施安全局(CISA)近日就一项存在于 Linux 内核中的新安全漏洞发出警告,称该问题可能影响包括 Ubuntu、Red Hat、SUSE、Debian、Fedora、Arch Linux 以及 Amazon(AWS)Linux 在内的大量主流发行版,涉及设备数量可能以数百万计。
该漏洞编号为 CVE-2026-31431,CVSS 评分为 7.8,被 CISA 列入“已知被利用漏洞”目录,认为其是恶意攻击者常用攻击向量,对联邦机构及更广泛企业环境构成重大风险。
CISA 在通报中指出,这是一个“Linux 内核在不同安全域之间错误转移资源”的漏洞,若被利用,可导致本地权限提升到 root 级别。 对于基于上述发行版的大量容器化与多租户工作负载环境而言,这类本地提权漏洞尤其危险,因为一旦攻击者在系统上获得初始访问,就有机会进一步突破隔离、控制整个节点。
Red Hat 上月已发布安全公告,对这一问题作出更详细的技术说明。 公告称,漏洞出现在 Linux 内核中的 algif_aead 加密算法接口中,由于引入了错误的“原地(in-place)操作”实现,源数据与目标数据的内存映射不一致,从而在加密操作过程中可能出现意外行为或数据完整性问题,进而影响加密通信的可靠性。
微软安全研究人员则进一步追溯到内核加密子系统中的逻辑缺陷,指出问题集中在 2017 年引入的 AF_ALG 框架下 algif_aead 模块的一项优化。 当时的“原地优化”导致内核在执行某些加密操作时,会错误地将源内存重复用作目标缓冲区。 攻击者可以利用 AF_ALG 套接字接口与 splice 系统调用之间的交互,在内核页缓存中实现一个可控的 4 字节写入,从而精准篡改关键数据结构。
研究人员表示,这一攻击流程可以通过一段 Python 脚本实现,并针对 /usr/bin/su 等高权限二进制文件进行修改,使其在执行时直接以 root 权限运行。 与许多依赖竞争条件(race condition)的内核利用方式不同,此次漏洞的利用并不依靠时序竞态,而是可以通过约 732 字节的小型脚本以确定性方式稳定复现。 由于在多种主流发行版上几乎无需修改即可成功利用,该漏洞被视为“高度可靠”的提权手段。
在云计算环境中,这一特性带来的风险进一步放大。 许多容器共享同一宿主机内核,一旦底层内核版本存在该漏洞,单个容器被攻破就可能蔓延为整个节点被完全接管。 微软警告称,即便攻击者最初仅拥有有限访问权限,例如通过 SSH 低权用户登录,或在 CI/CD 流水线中取得执行机会,都足以借此漏洞提升至 root 权限,突破容器边界,实现横向移动并感染多租户环境中的其他工作负载。
目前公开观测到的利用活动还主要停留在概念验证(PoC)阶段,并未大规模武器化扩散。 尽管如此,微软已经通过 Microsoft Defender XDR 发布检测签名,帮助各类组织识别潜在的利用尝试和已被攻击的系统。 微软同时敦促安全团队在各发行版提供相应补丁后,尽快完成内核更新,以从根本上消除风险。
在补丁完全到位之前,微软建议采取一系列缓解措施,包括临时禁用受影响的相关加密功能,或阻止创建 AF_ALG 套接字,以减少攻击面暴露。 此外,还应强化访问控制策略,限制能够在系统上运行任意代码的账户范围,并通过网络隔离降低单点沦陷后在内部环境中横向扩散的可能性。 对于存在可疑迹象的节点,快速回收和重建、配合日志审计与行为检测,也是降低长期风险的重要手段。
热门跟贴