2026-04-30 00:00
← VoltarFoi publicada uma exploração para uma vulnerabilidade de escalonamento de privilégios locais chamada “Copy Fail” que afeta os kernels Linux lançados desde 2017, permitindo que um invasor local sem privilégios obtenha permissões de root. A vulnerabilidade é rastreada como CVE-2026-31431 e foi descoberta pela empresa de segurança ofensiva Theori, usando sua plataforma de pentesting baseada em IA Xint Code após verificar o sistema criptográfico/sistema Linux por cerca de uma hora. Theori relatou a descoberta à equipe de segurança do kernel Linux em 23 de março, e os patches foram disponibilizados em uma semana. Detalhes técnicos e uma exploração de prova de conceito para a falha surgiram publicamente ontem. Embora a empresa de segurança cibernética tenha desenvolvido e testado uma exploração "100% confiável" baseada em Python para quatro distribuições Linux (Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 e SUSE 16), os pesquisadores dizem que o "script de 732 bytes enraíza todas as distribuições Linux enviadas desde 2017". Causa raiz da falha de cópia Em um artigo detalhado, os pesquisadores dizem que o problema de falha de cópia (CVE-2026-31431) “é um bug lógico no modelo criptográfico de autenticação do kernel Linux” que permite que um usuário autenticado execute de forma confiável uma “gravação de 4 bytes no cache da página de qualquer arquivo legível no sistema”. Ao combinar a interface baseada em soquete ‘AF_ALG’, que dá acesso às funções criptográficas do kernel Linux a...
Foi publicada uma exploração para uma vulnerabilidade de escalonamento de privilégios locais chamada “Copy Fail” que afeta os kernels Linux lançados desde 2017, permitindo que um invasor local sem privilégios obtenha permissões de root. A vulnerabilidade é rastreada como CVE-2026-31431 e foi descoberta pela empresa de segurança ofensiva Theori, usando sua plataforma de pentesting baseada em IA Xint Code após verificar o sistema criptográfico/sistema Linux por cerca de uma hora. Theori relatou a descoberta à equipe de segurança do kernel Linux em 23 de março, e os patches foram disponibilizados em uma semana. Detalhes técnicos e uma exploração de prova de conceito para a falha surgiram publicamente ontem. Embora a empresa de segurança cibernética tenha desenvolvido e testado uma exploração "100% confiável" baseada em Python para quatro distribuições Linux (Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 e SUSE 16), os pesquisadores dizem que o "script de 732 bytes enraíza todas as distribuições Linux enviadas desde 2017". Causa raiz da falha de cópia Em um artigo detalhado, os pesquisadores dizem que o problema de falha de cópia (CVE-2026-31431) “é um bug lógico no modelo criptográfico de autenticação do kernel Linux” que permite que um usuário autenticado execute de forma confiável uma “gravação de 4 bytes no cache da página de qualquer arquivo legível no sistema”. Ao combinar a interface baseada em soquete ‘AF_ALG’, que dá acesso às funções criptográficas do kernel Linux a partir do espaço do usuário, e a chamada de sistema splice(), um usuário sem privilégios pode fazer uma gravação controlada de 4 bytes no cache da página de um arquivo, em vez de um buffer normal. Se esses 4 bytes atingirem um binário setuid-root, eles poderão alterar seu comportamento quando executados, concedendo privilégios de root ao invasor.
A falha foi introduzida em 2017, quando a equipe do kernel Linux adicionou uma otimização “in-loco” ao caminho criptográfico, o que significa que começou a reutilizar o mesmo buffer em vez de manter a entrada e a saída estritamente separadas. Impacto e correções O PoC do Theori é uma exploração consistentemente eficaz de 732 bytes que dá raiz a todas as principais distribuições do Linux que rodam em uma versão vulnerável do kernel do Linux, dizem os pesquisadores. Eles demonstraram e confirmaram a exploração Copy Fail no Ubuntu 24.04, Amazon Linux 2023, RHEL 10.1 e SUSE 16: Obtendo root shell em quatro distribuições Linux Fonte: Xint Code Copy Fail é caracterizado como estando mais próximo da vulnerabilidade ‘Dirty Pipe’ do que falhas típicas de escalonamento de privilégios locais, é mais confiável (reivindicado 100% de sucesso) e é mais amplamente explorável do que a maioria dos bugs nesta classe. Mesmo quando comparado ao Dirty Pipe, o Copy Fail é considerado mais prático. "O Copy Fail é mais portátil. Um script, cada distribuição, sem compensações. O Dirty Pipe precisava de kernel ≥ 5.8 com patches específicos; o Copy Fail cobre toda a janela 2017-2026", observam os pesquisadores da Theori. CVE-2026-31431 foi corrigido no upstream em 1º de abril, revertendo o comportamento problemático da criptografia “no local” introduzido no kernel Linux versão 4.14 em 2017.
As correções foram disponibilizadas nas versões 6.18.22, 6.19.12 e 7.0. De acordo com os pesquisadores, as principais distribuições do Linux já estão implementando a correção por meio de atualizações do kernel. No entanto, o principal analista de vulnerabilidades de Tharros, Will Dormann, observa que não há “atualizações oficiais para CVE-2026-31431”. “O Fedora 42 e mais recentes têm atualizações, mas nenhum aviso oficial ou reconhecimento de CVE-2026-31431”, diz Dormann. Como uma mitigação provisória para aqueles que ainda não receberam as atualizações, os pesquisadores recomendam desabilitar a interface de criptografia vulnerável, o que bloquearia a criação do soquete AF_ALG, ou desabilitar o módulo algif_aead: echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf rmmod algif_aead Os pesquisadores Theori sugerem tratar hosts Linux multilocatários, clusters Kubernetes/container, CI executores/build farms e SaaS em nuvem executando código de usuário como prioridade no esforço de correção.