Perfektní bouře: Kdy bezpečnost infrastruktury selže

Dne 28. dubna padl cPanel. Celosvětově. Poskytovatelé hostingu rychle odpojovali své ovládací panely, protože exploit se šířil volně. A pak přišel 29. duben. Výzkumníci z Theori odhalili Copy Fail – chybu v eskalaci privilégií, která zasahuje skoro všechny hlavní Linux distribuce od roku 2017.

Dvě kritické události během dvou dní.

Pokud provozujete hosting, váš bezpečnostní tým na takový tlak není stavěný. A jestli běžíte appky na sdílené infrastruktuře, VPS nebo Kubernetes clusterech, teď si položte nepříjemné otázky o izolaci tenantů.

Proč je Copy Fail jiný (a horší)

Copy Fail (CVE-2026-31431) není žádný složitý síťový útok. Jde o lokální eskalaci privilegií – útočník potřebuje nejdřív shell přístup k systému. Na dedikovaném serveru s jedním uživatelem? Riziko malé. Na všem ostatním? Katastrofa.

Takto to hrozí:

Shared Hosting: Zákazník se SSH přístupem se dostane na root a prolistuje soubory, databáze i hesla všech ostatních.

VPS Platformy: Tenant z jednoho kontejneru prorazí na host kernel a ohrozí další VM.

Kubernetes Clustery: Pod se shell přístupem uteče a ovládne celý node.

CI/CD Runneři: Build kontejnery se stávají branou do celé infrastruktury.

Exploit je smrtelně jednoduchý – 732 bajtů Pythonu. Žádné speciální nástroje. Žádné úpravy pro distribuce. Funguje tak, jak je, na skoro všem.

Obchodní dopad převyšuje technický

Pro poskytovatele hostingu to znamená víc než technickou chybu.

Úspěšný Copy Fail v multi-tenant prostředí je únik dat. Jde o soubory, credentials, databáze a platební info jiných tenantů.

Pod GDPR musíte hlásit do 72 hodin. PCI-DSS, HIPAA nebo SOX přinášejí pokuty a povinné notifikace.

Reputace? Neopravitelná. Výpadek infrastruktury přežijete. Ale "Nechali jsme Tenant A číst data Tenant B" vás položí.

Problém načasování

Vše zhoršuje kaskáda. Poskytovatelé ještě řeší cPanel – patchují panely, audity logů, admin rozhraní. Teď musí skočit na jinou chybu v kernelu.

Testujete kapacitu bezpečnostních operací. Zvládne tým dvě nesouvisející krize najednou? Většina odpoví ne.

Co dělat hned teď

Poskytovatelé hostingu:

• Prověřte izolaci tenantů. Které prostředí jsou ohrožená? (Více, než tušíte.)
• Patchujte kernele. Všechny. Od 2017, takže plán upgradů je klíč.
• Prohlédněte access logy na podezřelé eskalace.
• Komunikujte s klienty otevřeně – teď ušetříte soudy.
• Posilte bezpečnostní tým. Dvě krize za dva dny ukazují limity.

Developers a startupy na shared/cloudu:

• Zeptejte se providra na plán pro Copy Fail. Vague odpovědi neberte.
• Přesuňte citlivé workloady na izolované prostředí (dedikovaný server, private cloud).
• Zkontrolujte, co by uniklo při root eskalaci jiného tenanta. To je vaše riziko.
• Sledujte infrastrukturu na divné eskalace.

Kubernetes nebo kontejnerová infrastruktura:

• Kernel chyby zasahují host. Patchujte nodů.
• Nastavte pod security policies proti host kernelu.
• Počítejte s breakoutem – segmentujte síť.

Hlubší ponaučení

Copy Fail čekal od 2017. Nebyl to zero-day. Schovával se v Linux kernelu deset let, dostupný pro kohokoli se shellem.

Lokální eskalace privilegií jsou těžko detekovatelné a ještě těžší v měřítku.

Poskytovatelé hostingu potřebují:

1. Agresivní patchování kernelů (ne když se hodí)
2. Povinné security updaty všude
3. Behaviorální monitoring na eskalace
4. Jasnou komunikaci o patchech
5. Dostatek lidí na paralelní krize

Pro firmy jako NameOcean, co mixují domény, hosting a cloud, rozhodnutí o bezpečnosti dnes určují budoucí odpovědnost. Copy Fail ukazuje, že "stačí" nestačí.

Závěr

Pokud váš provider nemá veřejný plán na Copy Fail, je to varovný signál. Stále řeší cPanel? Zeptejte se, jak zvládají dvě krize.

V multi-tenant prostředí počítejte s lokální eskalací. Stavějte bezpečnost podle toho.

Příštích 72 hodin ukáže, kdo to bere vážně.