美国网络安全与基础设施安全局(CISA)与微软联合警告一款存在于主流 Linux 发行版中的高危内核漏洞(CVE-2026-31431)。该漏洞允许攻击者实现本地提权至 root 权限,在云环境与多租户场景中可能引发严重的横向移动与数据泄露风险。
漏洞原理与受影响范围
该漏洞(CVSS 评分为 7.8)源于 Linux 内核自 2017 年引入的密码学子系统缺陷,具体位于 AF_ALG 模块的 algif_aead 接口。早期为优化加密性能引入的“原地操作”机制存在逻辑错误,导致内核在处理加密任务时错误地将源内存与目标内存映射重叠。CISA 在官方公告中指出,此类资源传输错误已成为恶意攻击者的常用利用途径,对联邦企业及生产环境构成重大威胁。受影响平台覆盖 Ubuntu、Red Hat、SUSE、Debian、Fedora、Arch Linux 以及 Amazon Linux 等主流发行版。
利用方式与云环境风险
安全研究人员已开发出约 732 字节的 Python 脚本实现确定性利用。该脚本不依赖传统内核漏洞常见的竞争条件,而是通过操控 AF_ALG 套接字接口与 splice() 系统调用的交互,在内核页面缓存中执行可控的四字节覆写。攻击者借此可篡改 /usr/bin/su 等特权二进制文件,直接获取 root 权限。在容器化部署与多租户架构中,因不同容器共享宿主机内核,单一节点受损可能导致整个集群被入侵。即便攻击者仅通过 SSH 或受损的 CI/CD 流水线获得低权限访问,亦可利用该漏洞实现容器逃逸与网络横向渗透。
官方响应与防护建议
目前公开的安全测试仍集中在概念验证(PoC)层面,未出现大规模活跃利用。Microsoft Defender XDR 已同步推送检测特征码,用于识别潜在的代码执行尝试。微软与安全团队强烈建议在厂商发布更新后立即修补内核。在升级窗口期内,可通过禁用相关密码学功能或拦截 AF_ALG 套接字创建降低暴露面。同时,实施严格的访问控制策略、配置网络隔离,并在检测到异常指标时快速回收节点,是现阶段防御该漏洞的有效补充措施。
via Neowin
