Konec aprila 2026 smo doživeli dva resna varnostna incidenta hkrati — ranljivost jedra Linuxa in kritičen obhod avtentikacije v cPanelu. Pojasnimo, kaj se je zgodilo in kaj morate storiti.
⚠ Obe ranljivosti sta aktivno izkoriščani. Če upravljate Linux strežnike ali cPanel infrastrukturo, ukrepajte takoj.
1. Copy Fail (CVE-2026-31431): devet let skrita napaka v jedru Linuxa
29. aprila 2026 je varnostna ekipa Theori javno razkrila resno ranljivost v jedru Linuxa, ki je dobila vzdevek Copy Fail in identifikator CVE-2026-31431. Napaka tiho spi v vsakem jedru, zgrajenim od leta 2017 — to pomeni dobrih devet let neodkrite luknje v sistemih po vsem svetu.
Kako deluje ranljivost?
Napaka se nahaja v modulu algif_aead, ki je del kripto API-ja jedra Linuxa (AF_ALG). Logična pomanjkljivost napadalcu omogoča, da z neprivilegiranim lokalnim dostopom eskalira pravice do nivoja root — torej pridobi popoln nadzor nad sistemom. Javno dostopen exploit je le 732 vrstic Python kode in deluje zanesljivo na Ubuntu, Amazon Linux, RHEL in SUSE.
- CVSS ocena: 7.8 (visoka stopnja)
- Prizadeta jedra: vse distribucije od leta 2017
- PoC exploit: javno dostopen, 732-vrstični Python
- Zanimivost: AI sistem ga je odkril v ~1 uri
Posebnost: ranljivost je odkrila umetna inteligenca
Eden izmed presenetljivejših vidikov Copy Fail je način odkritja. Po navedbah Theorija je AI sistem Xint Code s pregledom kripto podsistema jedra v zgolj eni uri identificiral ranljivost — brez kodiranja harnesov, le z enim operatorskim pozivom. To nakazuje, da se krajšajo časi odkrivanja resnih ranljivosti in da morajo biti ekipe za upravljanje popravkov hitrejše kot kadarkoli prej.
Poseben primer: CloudLinux in RHEL-based sistemi
Splošno priporočilo za blažitev (onemogočanje modula algif_aead prek modprobe.d) ne deluje na CloudLinux, AlmaLinux in ostalih distribucijah, ki temeljijo na RHEL. Pri teh je modul vgrajen neposredno v jedro (CONFIG_CRYPTO_USER_API_AEAD=y), zato blokiranje ne zaustavi grožnje — ukazi se izvedejo brez napake, sistem pa ostane ranljiv. Edina prava zaščita je posodobitev jedra.
Začasna ublažitev (Debian/Ubuntu):
echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif.conf
sudo rmmod algif_aeadOpomba: Na RHEL/CloudLinux/AlmaLinux ta ukaz ne deluje. Posodobite jedro.
2. cPanel Zero-Day (CVE-2026-41940): 64 dni tihe kompromitacije
28. aprila 2026 je cPanel objavil kritičen popravek za ranljivost CVE-2026-41940 — obhod avtentikacije s CVSS oceno 9.8. Strežniki so bili kompromitirani že od vsaj 23. februarja 2026, kar pomeni, da je bil zero-day aktivno izkoriščan 64 dni pred katerokoli javno objavo ali popravkom.
Kaj je cPanel in zakaj je to tako resno?
cPanel in WHM (WebHost Manager) sta nadzorni plošči, ki poganjata upravljanje za ocenjenih 70 milijonov domen po vsem svetu. cPanel skrbi za spletna mesta, podatkovne baze, e-pošto in domene posameznih strank, WHM pa daje ponudniku gostovanja korenski (root) dostop do strežnika. Kompromitacija enega strežnika pomeni potencialni dostop do vsakega gostovanega spletnega mesta na njem.
Tehnično ozadje: CRLF injekcija v procesu seje
Ranljivost izvira iz nepravilnega ravnanja z vnosom v procesu prijave in nalaganja seje. Storitev cpsrvd pred avtentikacijo zapiše datoteko seje na disk. Napadalec manipulira piškotek whostmgrsession z izpustitvijo pričakovanega dela vrednosti, s čimer izniči šifriranje. Z vbrizgavanjem znakov \r\n v glavo avtorizacije nato vpiše poljubne lastnosti — npr. user=root — ter sproži ponovni vpis seje za pridobitev skrbniškega dostopa.
- CVSS ocena: 9.8 (kritična stopnja)
- Izpostavljeni strežniki: ~1,5 milijona (Shodan)
- Zero-day okno: 64 dni (23. februar – 28. april 2026)
- Prizadete domene: 70 milijonov+
Kaj se je dogajalo v ozadju?
Po poročanjih je bila ranljivost prijavljena cPanelu približno dva tedna pred javno objavo — in cPanel sprva ni priznal, da gre za težavo. Ko so ponudniki gostovanja (KnownHost, Namecheap, HostPapa, InMotion) dobili obvestilo, so takoj blokirali dostop do vrat 2083, 2086 in 2087. CISA je CVE-2026-41940 dodala v katalog znanih izkoriščanih ranljivosti 30. aprila z rokom za odpravo 3. maja 2026 za ameriške zvezne agencije.
Detekcija znakov kompromitacije
cPanel je objavil zaznavalni skript za iskanje znakov vdora. Poiščite seje z atributi token_denied in cp_security_token hkrati ter pred-avtenticirane seje z avtenticiranimi atributi. watchTowr Labs je objavil lasten generator zaznavnih artefaktov.
Kaj storite zdaj
Copy Fail — Linux jedro
- Posodobite jedro takoj, ko ponudnik izda popravek
- Na Debian/Ubuntu: onemogočite modul
algif_aeadkot začasni ukrep - Na CloudLinux/RHEL/AlmaLinux: modprobe metoda ne deluje — posodobite jedro
- Prioriteta: Kubernetes vozlišča in CI/CD izvajalci
CVE-2026-41940 — cPanel/WHM
- Posodobite cPanel na verzijo 11.136.0.5 ali novejšo
- WP Squared: posodobite na 136.1.7 ali novejšo
- Zaženite cPanelov zaznavalni skript za znake kompromitacije
- Preverite, ali je imela vaša infrastruktura dostop od 23. februarja naprej
- Blokirajte vrata 2083, 2087, 2095, 2096 do posodobitve
Kaj nam to pove o trenutnem stanju varnosti?
Sovpadanje Copy Fail in cPanel zero-day v istem tednu ni naključje niti posebna nesreča — je simptom strukturnih težav. Napake z dolgo življenjsko dobo (9 let za Copy Fail) ostajajo skrite, ker orodja za statično analizo in fuzzerji niso pregledali vse kode. Ko AI sistemi začnejo to početi hitreje in ceneje, se bo stopnja odkrivanja resnih ranljivosti povečala.
64-dnevno zero-day okno pri cPanelu kaže, da cikli objave popravkov preprosto niso dovolj hitri za organiziran napad. Ko ima napadalec ekskluziven dostop do ranljivosti kritične infrastrukture, ima teden dni prednosti dovolj za množično kompromitacijo.
Obe ranljivosti skupaj ponazarjata tezo, ki postaja vse glasnejša: model upravljanja ranljivosti, ki temelji na letnih ciklih pregledov in počasnih prodajalcih, se ne ujema z realnostjo sodobnih napadov.