「CopyFail」：一個漏洞讓全球Linux伺服器暴露在攻擊者面前

一段短短的Python腳本，就能讓2017年後出貨的幾乎所有Linux系統拱手相讓管理員權限——這不是假設，而是正在發生的事。

漏洞本質：為什麼「CopyFail」如此棘手

CVE-2026-31431，研究人員稱之為「CopyFail」，是存在於Linux核心7.0及更早版本中的權限提升漏洞。發現這個漏洞的資安公司Theori已確認，它在Red Hat Enterprise Linux 10.1、Ubuntu 24.04（LTS）、Amazon Linux 2023以及SUSE 16等廣泛使用的發行版上均可觸發。DevOps工程師Jorijn Schrijvershof進一步確認，Debian、Fedora，以及大量企業仰賴的容器編排平台Kubernetes同樣受到影響。

漏洞名稱來自其核心缺陷：Linux核心的某個元件在應該複製特定資料時「沒有複製」（Copy Fail），導致核心內部敏感資料遭到破壞。攻擊者可藉此搭便車，取得核心對整個系統的完整存取權限，包括所有應用程式、資料庫與網路資源。一個只有普通使用者權限的人，可以瞬間成為系統的最高管理員。

這個漏洞在3月下旬被回報給Linux核心安全團隊，約一週內完成修補。然而問題在於，修補程式尚未完全下滲至各個依賴該核心的Linux發行版，讓數量龐大的生產環境系統持續暴露在風險之中。美國網路安全機構CISA已確認此漏洞「正在野外被積極利用」，並要求所有聯邦民用機構於5月15日前完成修補。

就攻擊路徑而言，CopyFail本身無法單獨透過網路遠端觸發，但Microsoft分析指出，若與一個可遠端投遞的漏洞鏈式組合，攻擊者便能從網路端直接取得root存取權。此外，誘騙使用者點擊惡意連結或附件，以及針對開源開發者帳號的「供應鏈攻擊」，都是可行的入侵路徑。

對亞洲企業與華人世界意味著什麼

廣告

廣告合作

[email protected]

廣告

Linux是全球資料中心的骨幹，這一點在亞洲同樣成立。台灣的半導體製造商、香港的金融機構、東南亞快速擴張的科技新創，以及在全球雲端市場佔有重要份額的中國大陸科技巨頭，都深度依賴Linux基礎設施。

值得特別關注的是供應鏈攻擊的維度。開源軟體的開發生態高度全球化，一個開發者帳號遭入侵，可能導致下游數千個系統同時中招。台灣作為全球晶片供應鏈的核心，其製造與研發系統若遭滲透，影響範圍遠超單一企業。

對中國大陸企業而言，情況有其特殊性。由於地緣政治因素，部分企業已開始推進「去美國化」的基礎設施策略，轉向國產Linux發行版（如麒麟、統信UOS）。然而這些發行版同樣基於Linux核心，若核心版本未及時更新，同樣面臨CopyFail的威脅。自主可控的口號，並不能自動帶來漏洞免疫力。

另一個不容忽視的面向是雲端服務商的責任邊界。Alibaba Cloud、Tencent Cloud、AWS在亞太地區運營的資料中心，若其底層Linux環境存在未修補的漏洞，租用其服務的企業客戶也將間接承擔風險。雲端共享責任模型在此情境下，責任歸屬的界線值得仔細釐清。

修補之外：這次事件暴露的結構性問題

修補程式存在，但「打了補丁就安全」的邏輯在企業環境中並不成立。

大型企業的修補流程涉及測試、審批、維護窗口排程，金融與醫療等高可用性系統更難以立即重啟。更深層的問題是：Linux核心修補完成到各發行版完成整合、推送、企業完成部署，這個鏈條之間存在一段「已知漏洞、尚未修補」的危險空窗期。CopyFail不是第一個暴露這個問題的漏洞，也不會是最後一個。

這次事件同時再度引發對開源安全模型的討論。開源的透明性是其最大優勢，但當漏洞的概念驗證程式碼（PoC）公開發布後，攻擊者與防禦者同時獲得了相同的資訊。防禦者需要時間修補，攻擊者只需要時間找到目標。