2026-05-03 00:00
← VoltarA Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou na sexta-feira uma falha de segurança que afeta várias distribuições Linux em seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), citando evidências de exploração ativa em estado selvagem. A vulnerabilidade, rastreada comoCVE-2026-31431 (pontuação CVSS: 7,8), é um caso de falha de escalonamento de privilégios locais (LPE) que pode permitir que um usuário local sem privilégios obtenha root. A falha de nove anos também é rastreada comoCopy Failpor Theori e Xint. Correções foram disponibilizadas nas versões 6.18.22, 6.19.12 e 7.0 do kernel Linux. “O kernel do Linux contém uma vulnerabilidade incorreta de transferência de recursos entre esferas que pode permitir escalonamento de privilégios”, disse a CISA em um comunicado. Em um artigo publicado no início desta semana, os pesquisadores disseram que Copy Failis é o resultado de um bug lógico no modelo criptográfico de autenticação do kernel Linux que permite que um invasor acione de forma confiável o escalonamento de privilégios de forma trivial por meio de uma exploração baseada em Python de 732 bytes. Ele foi introduzido por meio de três alterações separadas e individualmente inofensivas no kernel do Linux feitas em 2011, 2015 e 2017. A vulnerabilidade de segurança de alta gravidade afeta as distribuições do Linux enviadas desde 2017 e permite que um usuário local sem privilégios obtenha acesso de nível raiz corrompendo o cache de página...
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou na sexta-feira uma falha de segurança que afeta várias distribuições Linux em seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), citando evidências de exploração ativa em estado selvagem. A vulnerabilidade, rastreada comoCVE-2026-31431 (pontuação CVSS: 7,8), é um caso de falha de escalonamento de privilégios locais (LPE) que pode permitir que um usuário local sem privilégios obtenha root. A falha de nove anos também é rastreada comoCopy Failpor Theori e Xint. Correções foram disponibilizadas nas versões 6.18.22, 6.19.12 e 7.0 do kernel Linux. “O kernel do Linux contém uma vulnerabilidade incorreta de transferência de recursos entre esferas que pode permitir escalonamento de privilégios”, disse a CISA em um comunicado. Em um artigo publicado no início desta semana, os pesquisadores disseram que Copy Failis é o resultado de um bug lógico no modelo criptográfico de autenticação do kernel Linux que permite que um invasor acione de forma confiável o escalonamento de privilégios de forma trivial por meio de uma exploração baseada em Python de 732 bytes. Ele foi introduzido por meio de três alterações separadas e individualmente inofensivas no kernel do Linux feitas em 2011, 2015 e 2017. A vulnerabilidade de segurança de alta gravidade afeta as distribuições do Linux enviadas desde 2017 e permite que um usuário local sem privilégios obtenha acesso de nível raiz corrompendo o cache de página na memória do kernel de qualquer arquivo legível, incluindo binários setuid.
Essa corrupção pode ser realizada por usuários sem privilégios e resultar na execução de código com permissões de root. “Como o cache da página representa a versão na memória dos executáveis, modificá-lo altera efetivamente os binários no tempo de execução, sem tocar no disco”, disse Wiz, de propriedade do Google. "Isso permite que invasores injetem código em binários privilegiados (por exemplo, /usr/bin/su) e, assim, obtenham privilégios de root." A prevalência do Linux em ambientes de nuvem significa que a vulnerabilidade tem um impacto significativo. A Kaspersky, em sua análise da falha, disse que Copy Fail representa um sério risco para ambientes em contêineres, já que Docker, LXC e Kubernetes “concedem aos processos dentro de um contêiner acesso ao subsistema AF_ALG se o módulo algif_aead for carregado no kernel host” por padrão. “A cópia falha representa um risco de violação do isolamento do contêiner e de ganho de controle sobre a máquina física”, disse o fornecedor de segurança russo. “Ao mesmo tempo, a exploração não requer o uso de técnicas complexas, como condições de corrida ou adivinhação de endereços de memória, o que reduz a barreira de entrada para um invasor em potencial”. “Detectar o ataque é difícil porque a exploração usa apenas chamadas de sistema legítimas, que são difíceis de distinguir do comportamento normal do aplicativo”. Aumentando a urgência está a disponibilidade de uma prova de conceito (PoC) de exploração totalmente funcional, com a Kaspersky afirmando que as versões Go e Rust da implementação original do Python já foram detectadas em repositórios de código aberto.
A CISA não compartilhou nenhum detalhe sobre como a vulnerabilidade está sendo explorada em estado selvagem. No entanto, a equipe de pesquisa de segurança do Microsoft Defender disse que está “vendo atividades de testes preliminares que podem resultar muito provavelmente no aumento da exploração dos agentes de ameaças nos próximos dias”. “O vetor de ataque é local (AV:L) e requer privilégios baixos sem interação do usuário, o que significa que qualquer usuário sem privilégios em um sistema vulnerável pode tentar a exploração”, acrescentou. “Criticamente, esta vulnerabilidade não pode ser explorada remotamente de forma isolada, mas torna-se altamente impactante quando encadeada com um vetor de acesso inicial, como acesso Secure Shell (SSH), execução maliciosa de trabalhos de CI ou pontos de apoio de contêineres.” A gigante da tecnologia também detalhou uma possível rota que os invasores poderiam seguir para explorar a vulnerabilidade – as agências do Poder Executivo Civil Federal (FCEB) foram aconselhadas a aplicar as correções até 15 de maio de 2026, já que as atualizações foram enviadas por distribuições Linux afetadas. Se a aplicação de patches não for uma opção imediata, recomenda-se que as organizações desabilitem o recurso afetado, implementem o isolamento da rede e apliquem medidas de segurança. controles de acesso. Aprenda como impedir ataques do paciente zero antes que eles ignorem a detecção e comprometam seus sistemas nos pontos de entrada. Aprenda como validar caminhos de ataque reais e reduzir riscos exploráveis com validação contínua de segurança de agente.
Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.