美国网络安全和基础设施安全局（CISA）近日警告称，一个几乎影响所有主流Linux版本的严重安全漏洞正在被黑客积极利用，对依赖Linux的服务器和数据中心构成重大风险。

该漏洞被命名为“CopyFail”，编号为CVE-2026-31431，存在于Linux内核7.0及更早版本中。根据公开信息，该漏洞于三月底被披露给Linux内核安全团队，约一周后官方发布了修补程序。但由于补丁尚未完全分发至所有依赖相关内核版本的Linux发行版，运行受影响版本的系统仍面临被攻击者控制的风险。

Linux系统广泛部署于企业环境，是全球大量数据中心的基础运行平台。CopyFail漏洞的官方网站称，一段简短的Python脚本即可在“自2017年以来发布的每个Linux发行版”上获取root权限。发现该漏洞的安全公司Theori表示，已在多种广泛使用的Linux发行版上验证了该漏洞的可利用性，包括 Red Hat Enterprise Linux 10.1、Ubuntu 24.04（LTS）、Amazon Linux 2023 以及 SUSE 16。

DevOps工程师兼开发者 Jorijn Schrijvershof 在其博客中表示，该漏洞利用同样适用于 Debian 和 Fedora 等发行版，以及依赖Linux内核的 Kubernetes。他形容该漏洞的影响范围“异常广泛”，因为它适用于“几乎所有现代Linux发行版”。

从技术机理看，CopyFail涉及Linux内核中一个拥有几乎完全设备访问权限的核心组件。在应当复制特定数据时，该组件未能正确执行复制操作，导致内核内部敏感数据被破坏。攻击者可以利用这一点，在内核权限级别访问系统的其他部分及其数据。

安全研究人员指出，一旦被成功利用，该漏洞的危害尤为严重，因为它允许普通、权限受限的用户在受影响的Linux系统上获取完全管理员（root）权限。对于数据中心环境而言，一台服务器被攻破后，攻击者可能访问众多企业客户的应用、服务器和数据库，甚至进一步横向移动至同一网络或数据中心中的其他系统。

目前的信息显示，CopyFail本身无法直接通过互联网远程利用。但如果与其他可远程利用的漏洞组合使用，则可能被“武器化”。微软方面指出，若将CopyFail与另一可远程利用的漏洞进行链式利用，攻击者可以借此在受影响服务器上获取root权限。此外，运行受影响内核的Linux用户也可能在被诱导打开恶意链接或附件时触发该漏洞。

相关说明还提到，该漏洞可能通过软件供应链攻击路径被植入。例如，恶意行为者若入侵开源开发者账户并在其代码中植入恶意软件，可能在一次更新中影响大量设备。

鉴于该漏洞对联邦机构网络构成的潜在影响，美国CISA已要求所有民用联邦机构在5月15日前完成对受影响系统的修补工作。