En sårbarhet i Linux-kärnan som först avslöjades 2017 – känd som 'Copy Fail'-buggen – finns fortfarande kvar i servrar som driver många kryptovalutabörser och plånbokstjänster, vilket väcker nya cybersäkerhetslarm denna vecka. Felet, som möjliggör privilegieeskalering genom en race condition i minneshanteringen vid copy-on-write, kan ge en angripare full kontroll över en riktad maskin om det utnyttjas tillsammans med en lokal åtkomstvektor. Även om buggen patchades för år sedan, varnar säkerhetsforskare att otaliga produktionssystem fortfarande är opatchade, vilket lämnar plattformar för digitala tillgångar exponerade för potentiell stöld eller datakompromettering.
Felet som inte dör
Spårad som CVE-2017-1000112 upptäcktes buggen av en Google-forskare och åtgärdades snabbt i vanliga Linux-distributioner. Men i praktiken har patchningen varit ojämn. Många kryptoföretag kör anpassade kärnor eller förlitar sig på långtidsstödda versioner som inte alltid får uppdateringar i tid. Sårbarheten utnyttjar kärnans minneshantering för att kringgå containerbegränsningar eller eskalera från en användare med låga privilegier till root. För en kryptobörs innebär det att en angripare som komprometterar en API-nyckel eller en webbapplikation sedan kan gå vidare till den underliggande servern och tömma heta plånböcker eller manipulera handelslogiken.
Varför kryptoservrar är ett mål
Blockkedjeinfrastruktur är starkt beroende av Linux – det är operativsystemet som väljs för nodoperatörer, miningpooler och börsbackends. 'Copy Fail'-buggen är särskilt farlig i fleranvändarmiljöer, såsom värdbaserade plånbokstjänster eller molnbaserade handelsplattformar, där en komprometterad virtuell maskin kan sprida sig till angränsande instanser. Forskare på flera säkerhetsföretag har flaggat problemet i privata branschbriefingar i år och noterat att en märkbar andel granskade kryptouppsättningar fortfarande kör kärnor som är äldre än 2017 års patch.
Vad operatörer bör göra
Det finns ingen ny fix – botemedlet har funnits i åratal. Problemet är införandet. Börs- och plånboksoperatörer uppmanas att omedelbart granska sin serverflotta, kontrollera kärnversioner mot CVE-databasen. Många kommer att finna att de är okej; vissa kommer att upptäcka att de kör en tickande bomb. Linux Foundations långtidsstödda kärnor inkluderar patchen, men anpassade byggen eller äldre distributioner saknar den ofta. Red Hat, Debian och Ubuntu har alla bakåtporterat fixen för år sedan, men endast om systemet uppdaterades efter slutet av 2017. En manuell kontroll med kommandot 'uname -r' och jämförelse mot CVE:s påverkade versioner är det rekommenderade första steget.
Ingen ny sårbarhet, samma gamla risk
Berättelsen om 'Copy Fail' är inte en nolldagsskräck. Det är en påminnelse om att infrastrukturskuld ackumuleras snabbt inom krypto, där snabbhet till marknad ofta prioriteras framför säkerhetshygien. Flera blockkedjesäkerhetsgranskare har privat sagt till sina kunder att patchning av denna gamla bugg är deras främsta rekommendation detta kvartal. Huruvida branschen lyssnar kommer att bero på hur många börser som behandlar en sju år gammal kärnbugg som ett verkligt hot snarare än ett teoretiskt. Nästa konkreta steg: förvänta dig fler offentliga rådgivningsmeddelanden från säkerhetsteam när de skannar efter opatchade system under de kommande veckorna.
