Uma falha lógica presente no kernel Linux desde 2017 foi revelada publicamente em 29 de abril de 2024 sob o nome Copy Fail, identificada como CVE-2026-31431. A vulnerabilidade permite que qualquer usuário local não privilegiado eleve seus privilégios para root com um script Python extremamente simples — menor que a maioria dos arquivos de configuração.
A descoberta foi feita pela equipe de pesquisa de segurança da Theori, utilizando sua ferramenta de análise de código baseada em IA, chamada Xint Code. O relatório foi enviado à equipe de segurança do kernel Linux em 23 de março, com confirmação no dia seguinte e correção incorporada à árvore principal (mainline) em 1º de abril.
Como funciona o exploit "Copy Fail"
A falha reside em um subsistema do kernel responsável por expor funções criptográficas nativas para aplicações de espaço de usuário — especificamente, no módulo algif_aead. Ao manipular entradas de arquivo de forma precisa, um atacante consegue forçar o kernel a sobrescrever 4 bytes na cópia em memória de qualquer arquivo aberto, sem alterar o conteúdo real no disco.
Isso significa que:
- Ferramentas de verificação de integridade (como
sha256sum) não detectam nenhuma anomalia; - O sistema operacional continua funcionando normalmente até que o dado corrompido seja usado criticamente;
- O exploit é implementado em apenas 732 bytes de Python, sem dependências externas ou necessidade de compilação.
# Exemplo simplificado do vetor de exploração (não reproduzido integralmente por segurança)
import os
import ctypes
# ... código de invocação ao módulo algif_aead ...
Impacto confirmado em múltiplas distribuições
Pesquisadores validaram o exploit em versões recentes de sistemas amplamente utilizados:
- Ubuntu 24.04 LTS
- Amazon Linux 2023
- Red Hat Enterprise Linux (RHEL) 10.1
- SUSE Linux Enterprise Server (SLES) 16
Em todos os casos, o mesmo script conseguiu obter acesso root com sucesso — demonstrando a natureza universal da falha em kernels modernos com suporte a AF_ALG.
Níveis de risco: quem deve priorizar a atualização?
O site oficial do projeto Copy Fail classifica o risco conforme o ambiente de implantação:
Alto risco
- Servidores multiusuário e multi-inquilino
- Clusters Kubernetes e ambientes containerizados (Docker, Podman)
- CI/CD runners compartilhados (GitHub Actions, GitLab Runners)
- Plataformas SaaS em nuvem que executam código fornecido por terceiros
A razão é técnica: o page cache do kernel — área de memória onde ocorre a corrupção — é compartilhado entre todos os contêineres e processos no mesmo nó, permitindo que uma instância comprometida afete todo o host.
Médio risco
- Servidores dedicados com acesso restrito a equipes internas
- Ambientes de produção com controle estrito de acesso SSH
Baixo risco
- Desktops e laptops pessoais com atualizações regulares
- Sistemas que não executam código não confiável de terceiros
Vale ressaltar: Copy Fail exige execução local. Não é explorável remotamente por si só — mas pode ser combinado com outros vetores (ex.: malware pré-instalado) para escalonamento de privilégios.
Atualizações e medidas mitigatórias
A maior parte das principais distribuições já lançou atualizações de kernel contendo o patch oficial:
- Ubuntu: pacotes
linux-image-*atualizados a partir de abril/2024 - RHEL/CentOS Stream: atualizações disponíveis via
yum update - SUSE: correções incluídas nas versões mais recentes do kernel 6.4+
- Fedora: atualizações automáticas via DNF para kernels 6.8+
Solução alternativa imediata (se atualização não for viável)
Enquanto aguarda a aplicação do patch, a Theori recomenda desabilitar o módulo vulnerável como medida temporária:
echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif-aead.conf
sudo rmmod algif_aead 2>/dev/null
Essa linha impede o carregamento do módulo algif_aead, eliminando a superfície de ataque — sem impacto significativo em funcionalidades comuns para a maioria dos usuários.
Atenção institucional: CISA inclui Copy Fail no catálogo KEV
A Agência de Segurança Cibernética e Segurança de Infraestrutura dos EUA (CISA) adicionou a vulnerabilidade ao seu catálogo de Known Exploited Vulnerabilities (KEV), exigindo que agências federais norte-americanas apliquem correções até 15 de maio de 2024.
Embora o Microsoft Security Response Center (MSRC) tenha relatado até o momento apenas atividades de proof-of-concept, a CISA orienta organizações públicas e privadas a tratar a correção como prioridade máxima, especialmente em ambientes de nuvem e infraestrutura compartilhada.
Conclusão: atualização é essencial — mas o risco varia
Para usuários domésticos que mantêm seus sistemas atualizados com frequência, o risco prático permanece baixo. Já para administradores de infraestrutura em nuvem, clusters containerizados ou ambientes de integração contínua, a falha representa uma ameaça real e imediata.
A rapidez da resposta da comunidade Linux — com patch em menos de 10 dias entre descoberta e inclusão no mainline — reforça a eficácia do modelo de desenvolvimento aberto na correção de falhas críticas. Ainda assim, a janela de exposição mostra que a atualização contínua de kernels não é opcional: é uma prática de segurança fundamental.