jamal-soc21/Weekly-Breach-Investigation--006

# Copy Fail 漏洞 (CVE-2026-31431) ## 概述 Linux 内核中的一个高危本地提权缺陷，允许无特权用户通过破坏内存页缓存来获取 root 访问权限。该漏洞影响了自 2017 年以来的 Linux 发行版，对云环境和容器化环境构成严重威胁。 ## 检测 - 已被添加至 CISA KEV 目录（2026 年 5 月） - 已发现野外利用情况 - 已有 Python、Go 和 Rust 编写的 PoC ## MITRE ATT&CK 映射 - 权限提升：滥用提权控制机制 (T1548) - 权限提升：访问令牌操作 (T1134) - 执行：命令和脚本解释器 (T1059) - 防御规避：伪装 / 合法系统调用 (T1036) ## 缓解措施 - 将内核修补至 6.18.22、6.19.12 或 7.0 版本 - 若推迟修补，请禁用易受攻击的功能 - 限制容器对 AF_ALG 子系统的访问 - 实施网络隔离和访问控制 ## 结论 相关技术和行为已映射至 MITRE ATT&CK 框架，用于结构化分析和标准化分类。

标签：AF_ALG子系统, CISA KEV, Copy Fail, CSV导出, CVE-2026-31431, DNS 解析, Go, Linux内核漏洞, PoC, Python, Root权限, Ruby工具, Rust, Web截图, 内存页缓存破坏, 协议分析, 可视化界面, 子域名枚举, 安全渗透, 容器安全, 提权漏洞, 数据展示, 无后门, 日志审计, 暴力破解, 本地提权, 权限提升, 漏洞分析, 漏洞缓解, 系统安全, 红队, 网络安全, 网络流量审计, 路径探测, 逆向工具, 速率限制, 隐私保护