Перфектната буря: Когато сигурността на инфраструктурата рухне

На 28 април cPanel падна. Цялата мрежа. Хостинг доставчиците бързо изключиха панелите си заради активни експлойти в оборот. А на 29 април Theori пусна Copy Fail – уязвимост за повишаване на привилегии, която удря почти всички Linux дистрибуции от 2017 г. насам.

Две големи кризи за два дни.

Ако управляваш хостинг, екипът ти за сигурност не е готов за такъв натиск. Ако стартираш приложения върху shared инфраструктура, VPS или Kubernetes, е време да се запитаеш за изолацията между клиентите.

Защо Copy Fail е по-лоша от другите

Copy Fail (CVE-2026-31431) не е мрежова атака. Това е локално повишаване на привилегии – атакуващият трябва първо да има shell достъп до системата. На dedicated сървър с един потребител? Минимален риск. Навсякъде другаде? Голям проблем.

Ето какво се случва:

Shared Hosting: Клиент с SSH може да стигне до root и да прочете файлове, бази данни и пароли на всички останали.

VPS платформи: Един контейнер може да излезе навън, да удри kernel-а и да стигне до други VM-та.

Kubernetes кластъри: Pod с shell достъп може да компрометира целия node.

CI/CD runners: Контейнерите за билд стават врата към цялата инфраструктура.

Експлойтиът е прост – 732-байтов Python скрипт. Работи навсякъде, без модификации или специални инструменти.

Бизнесът страда повече от техниката

За хостинг доставчиците това не е просто технически проблем. Това е пробив на данни. Клиентски файлове, пароли, бази, плащания – всичко прескача граници.

Според GDPR – задължително съобщение за 72 часа. HIPAA, PCI-DSS, SOX? Штрафове, уведомления, съдебни дела.

Репутацията? Невъзможно да я възстановиш бързо. Downtime се попълва. "Клиент А прочете данните на клиент Б" – не.

Проблемът с времето

Бурята е по-лоша заради последователността. Докато патчиш cPanel, преглеждаш логове и затягаш админ интерфейси, сега трябва да се обърнеш към нова уязвимост в различен слой.

Това тества капацитета ти. Можеш ли да се справяш с две независими кризи едновременно? За повечето – не.

Какво да направиш сега

Ако си хостинг доставчик:

• Провери изолацията между клиенти. Повече е засегнато, отколкото мислиш.
• Патчи всички kernel-и. От 2017 г. – планувай ъпгрейда внимателно.
• Прегледай логове за опити за escalation.
• Кажи на клиентите какво става – честността спасява от съдилища.
• Увеличи екипа за сигурност. Две кризи за два дни показват, че не стигаш.

Ако си девелъпър или стартъп на shared хостинг/облак:

• Попитай доставчика за плана по Copy Fail. Искай конкретика.
• Премести критичните задачи на dedicated или private cloud.
• Оцени какво ще загубиш, ако друг клиент стигне root.
• Следи за необичайни escalation опити.

Ако управляваш Kubernetes или контейнери:

• Патчи host kernel-ите.
• Затегни pod security policies – без достъп до kernel без нужда.
• Проектирай мрежовата сегментация с breakout наум.

Поучението отвътре

Copy Fail виси в Linux kernel-а от 2017 г. Не е zero-day. Била е там, достъпна за всеки с shell.

Това показва: локалните escalation уязвимости са трудни за откриване и мащабиране.

Хостингът иска:

1. Чести kernel патчове – не когато ти е удобно.
2. Задължителни ъпдейти за всички клиентски системи.
3. Мониторинг на поведение за подозрителни escalation-и.
4. Ясни съобщения за патчовете.
5. Достатъчно хора за паралелни кризи.

За фирми като NameOcean, които миксират domain, hosting и cloud, решенията днес определят рисковете утре. Copy Fail напомня – "достатъчно" сигурност не е достатъчна.

Накратко

Ако доставчикът ти няма план и статус по Copy Fail – бягай. Ако все още се бори с cPanel – попитай как справя паралелните кризи.

В multi-tenant среди приеми, че escalation е възможен. Създай сигурността си така.

Следващите 72 часа ще разкрият кой хостинг е сериозен.