🗓️ Contexte

Publié le 30 avril 2026 par Dan Goodin sur Ars Technica, cet article couvre la divulgation publique d’une vulnérabilité critique dans le noyau Linux, réalisée par la société de sécurité Theori, cinq semaines après sa notification privée à l’équipe de sécurité du noyau Linux.

🔍 Vulnérabilité : CopyFail (CVE-2026-31431)

CopyFail est une élévation de privilèges locale (LPE) affectant le sous-système crypto du noyau Linux, plus précisément le template AEAD authencesn utilisé pour les numéros de séquence étendus IPsec. La faille est un défaut logique en ligne droite : le processus ne copie pas correctement les données, utilise le buffer de destination de l’appelant comme zone de travail temporaire, et écrit 4 octets au-delà de la région de sortie légitime sans les restaurer.

  • Type : Flaw logique (pas de race condition, pas de corruption mémoire)
  • Impact : Accès root depuis n’importe quel utilisateur non privilégié
  • Fiabilité : Exploitation déterministe, sans fenêtre de course ni offset kernel
  • Portée : Toutes les distributions Linux vulnérables, sans modification du script

💣 Exploit public et vecteurs d’attaque

Theori a publié un script Python unique fonctionnant de manière fiable sur :

  • Ubuntu 22.04
  • Amazon Linux 2023
  • SUSE 15.6
  • Debian 12

Les vecteurs d’exploitation identifiés incluent :

  • Systèmes multi-tenant (hébergement partagé)
  • Conteneurs Kubernetes (évasion de conteneur)
  • Pipelines CI/CD via des pull requests malveillantes
  • Instances WSL2 sur Windows
  • Agents IA conteneurisés avec accès shell

Le chercheur Jorijn Schrijvershof illustre la chaîne d’attaque réaliste : exploitation d’un plugin WordPress → accès shell www-data → exécution du PoC CopyFail → root sur l’hôte → accès à tous les autres tenants.

🛠️ Correctifs et état des distributions

Le noyau Linux a été patché dans les versions : 7.0, 6.19.12, 6.18.12, 6.12.85, 6.6.137, 6.1.170, 5.15.204, 5.10.254.

  • Distributions patchées : Arch Linux, Red Hat Fedora
  • Distributions avec guidance de mitigation : SUSE, Red Hat, Ubuntu
  • Distributions sans patch au moment de la publication : majorité des distributions

⚠️ Controverse sur la divulgation

La divulgation est critiquée comme un “zero-day patch gap” : Theori n’aurait pas contacté les distributeurs Linux avant publication. Will Dormann (Tharros Labs) qualifie la coordination de “absolument terrible”, notant que Theori listait 4 vendors affectés dans son writeup tout en invitant à appliquer leurs patches, alors qu’aucun d’eux n’en disposait.

Theori a découvert la vulnérabilité via son outil d’analyse de code Xint (IA), après environ une heure de scan, suite à l’identification de surface d’attaque dans le sous-système crypto (splice(), scatterlist page provenance) par le chercheur Taeyang Lee.

📰 Nature de l’article

Article de presse spécialisée à visée informative, couvrant la divulgation d’une vulnérabilité critique, l’état des correctifs, les vecteurs d’exploitation et la controverse autour de la coordination de la divulgation.

🧠 TTPs et IOCs détectés

TTP

  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1611 — Escape to Host (Privilege Escalation)
  • T1195.002 — Compromise Software Supply Chain (Initial Access)

IOC

Malware / Outils

  • CopyFail PoC (tool)
  • Xint (tool)

🟡 Indice de vérification factuelle : 46/100 (moyenne)

  • ⬜ arstechnica.com — source non référencée (0pts)
  • ✅ 8241 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ 0/1 IOCs confirmés externellement (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://arstechnica.com/security/2026/04/as-the-most-severe-linux-threat-in-years-surfaces-the-world-scrambles/