Agence américaine pour l'infrastructure et la cybersécurité. États-Unis. ( CISA) a inclus dans son catalogue Connue Exploited Vulnerabilities (KEV) une vulnérabilité critique récemment divulguée dans le noyau Linux, enregistrée comme CVE-2026-31431(CVSS 7.8), après que des chercheurs et des sociétés de sécurité aient signalé des preuves d'exploitation active. Il s'agit d'une défaillance locale de levée de privilèges (LPE) appelée « Copy Fail », qui permet à un utilisateur non privilégié d'accéder à la racine en manipulant le cache des pages en mémoire du noyau; les correctifs qui corrigent le problème ont déjà été intégrés dans les branches du noyau identifiées par les responsables, y compris les versions 6.18.22, 6.19.12 et 7.0.
En termes techniques, l'erreur est corruption contrôlée de la page cache qui affecte la façon dont le noyau copie les ressources entre les "sphères" internes du sous-système cryptographique (AF _ ALG). Par des octets de béton corrompus dans le cache d'un exécutable en mémoire - sans toucher le disque - un attaquant peut injecter des instructions dans des binaires setuid privilégiés (par exemple / usr / bin / su) et obtenir l'exécution avec UID 0. Les auteurs du rapport expliquent que le bug provient de trois changements apparemment inoculaires introduits en 2011, 2015 et 2017, de sorte que l'échec est présent dans le noyau distribué depuis et est exploitable de façon fiable avec un PoC très compact en Python (en plus des implémentations détectées dans Go et Rust).
La disponibilité publique d'un PoC et la nature locale du vecteur rendent le risque particulièrement élevé dans les environnements où un accès initial peut être lié: un compte SSH compromis, un travail d'IC malveillant, ou une fuite dans un conteneur peut servir de point de départ. Les entreprises de sécurité avertissent que la détection est complexe parce que l'opération utilise des appels de système légitimes, ce qui rend difficile de distinguer l'activité malveillante du comportement normal. Le scénario le plus dangereux est celui des environnements et conteneurs nuageux, où Docker, LXC ou Kubernetes peuvent exposer le sous-système AF _ ALG dans l'hôte si le module algif _ aead est chargé, ce qui réduit les barrières et permet de briser l'isolement du conteneur pour compromettre l'hôte physique.
Face à ce scénario réel, la priorité numéro un pour les gestionnaires et les responsables de la sécurité doit être Plot dès que possible. La CISA a marqué cette vulnérabilité comme étant exploitée et a recommandé d'appliquer les mises à jour des fournisseurs; en outre, les organismes fédéraux américains ont reçu une date limite interne (15 mai 2026) pour atténuer le risque. Vous pouvez voir l'inclusion dans le catalogue KEV et les avis officiels sur la page CISA: https: / / www.cisa.gov / knowledge-exploited-vulnerabilities-catalog et examiner la rubrique du MITRE pour en savoir plus sur le contexte technique: https: / / cve.mitre.org / cgi-bin / cvename.cgi? nom = CVE-2026-31431.
S'il n'est pas possible de mettre à jour immédiatement, il existe des mesures compensatoires qui réduisent la surface d'exposition : empêcher l'hôte de charger le module algif _ aead (par exemple, télécharger ou bloquer sa charge avec des politiques de module), isoler les systèmes avec contrôle d'accès réseau et segmentation pour minimiser les portes d'entrée exploitables, revoir les autorisations et l'accès SSH, et durcir les configurations des conteneurs (éviter les privilèges élevés, utiliser les profils seccomp / SELinux / AppArmor et refuser l'accès direct à des sous-systèmes de noyau inutiles). Notez que les solutions traditionnelles d'intégrité des fichiers peuvent ne pas détecter cette technique parce que l'exécutable n'est jamais modifié dans le disque; prévention et stationnement sont plus fiables que la détection ultérieure.
Il est également nécessaire de renforcer la télémétrie et l'intervention : activer et revoir les registres d'audit, surveiller les processus qui changent en UID 0, déployer des capacités EDR / NGAV qui corrélent les anomalies locales et préparer des cahiers de contrôle pour les incidents impliquant une escalade des privilèges dans les nœuds d'hôtes ou d'orchestration. L'équipement qui gère les images des conteneurs devrait régénérer et replier les images sur le noyau déchiqueté et examiner les pipelines d'IC pour éviter les exécutions peu fiables qui peuvent agir comme point d'exploitation initial.
L'étendue de cette vulnérabilité, sa simple exploitation avec un PoC disponible et son impact potentiel sur les environnements multi-utilisateurs et cloud ne font pas de cette vulnérabilité une menace théorique: si votre infrastructure utilise Linux (surtout dans les conteneurs ou les systèmes partagés), elle doit agir dès maintenant. Pour vérifier si votre organisation a appliqué des correctifs ou des atténuations, vérifiez les politiques et les bulletins de votre distributeur et vérifiez la version du noyau dans les hôtes touchés; la page du noyau officiel et les dépôts de sa distribution sont des points de départ pratiques: https: / / www.kernel.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...