Pular para o conteúdo
Vulnerabilidade "Copy Fail" (CVE-2026-31431) permite escalonamento de privilégios no kernel Linux

Vulnerabilidade "Copy Fail" (CVE-2026-31431) permite escalonamento de privilégios no kernel Linux

Falha de 9 anos no kernel Linux permite que usuários não privilegiados obtenham acesso root com um script Python de 732 bytes. Patch já está disponível para Ubuntu, RHEL, SUSE e Fedora.

Uma falha lógica presente no kernel Linux desde 2017 foi revelada publicamente em 29 de abril de 2024 sob o nome Copy Fail, identificada como CVE-2026-31431. A vulnerabilidade permite que qualquer usuário local não privilegiado eleve seus privilégios para root com um script Python extremamente simples — menor que a maioria dos arquivos de configuração.

A descoberta foi feita pela equipe de pesquisa de segurança da Theori, utilizando sua ferramenta de análise de código baseada em IA, chamada Xint Code. O relatório foi enviado à equipe de segurança do kernel Linux em 23 de março, com confirmação no dia seguinte e correção incorporada à árvore principal (mainline) em 1º de abril.

Como funciona o exploit "Copy Fail"

A falha reside em um subsistema do kernel responsável por expor funções criptográficas nativas para aplicações de espaço de usuário — especificamente, no módulo algif_aead. Ao manipular entradas de arquivo de forma precisa, um atacante consegue forçar o kernel a sobrescrever 4 bytes na cópia em memória de qualquer arquivo aberto, sem alterar o conteúdo real no disco.

Isso significa que:

  • Ferramentas de verificação de integridade (como sha256sum) não detectam nenhuma anomalia;
  • O sistema operacional continua funcionando normalmente até que o dado corrompido seja usado criticamente;
  • O exploit é implementado em apenas 732 bytes de Python, sem dependências externas ou necessidade de compilação.
# Exemplo simplificado do vetor de exploração (não reproduzido integralmente por segurança)
import os
import ctypes
# ... código de invocação ao módulo algif_aead ...

Impacto confirmado em múltiplas distribuições

Pesquisadores validaram o exploit em versões recentes de sistemas amplamente utilizados:

Em todos os casos, o mesmo script conseguiu obter acesso root com sucesso — demonstrando a natureza universal da falha em kernels modernos com suporte a AF_ALG.

Níveis de risco: quem deve priorizar a atualização?

O site oficial do projeto Copy Fail classifica o risco conforme o ambiente de implantação:

Alto risco

  • Servidores multiusuário e multi-inquilino
  • Clusters Kubernetes e ambientes containerizados (Docker, Podman)
  • CI/CD runners compartilhados (GitHub Actions, GitLab Runners)
  • Plataformas SaaS em nuvem que executam código fornecido por terceiros

A razão é técnica: o page cache do kernel — área de memória onde ocorre a corrupção — é compartilhado entre todos os contêineres e processos no mesmo nó, permitindo que uma instância comprometida afete todo o host.

Médio risco

  • Servidores dedicados com acesso restrito a equipes internas
  • Ambientes de produção com controle estrito de acesso SSH

Baixo risco

  • Desktops e laptops pessoais com atualizações regulares
  • Sistemas que não executam código não confiável de terceiros

Vale ressaltar: Copy Fail exige execução local. Não é explorável remotamente por si só — mas pode ser combinado com outros vetores (ex.: malware pré-instalado) para escalonamento de privilégios.

Atualizações e medidas mitigatórias

A maior parte das principais distribuições já lançou atualizações de kernel contendo o patch oficial:

  • Ubuntu: pacotes linux-image-* atualizados a partir de abril/2024
  • RHEL/CentOS Stream: atualizações disponíveis via yum update
  • SUSE: correções incluídas nas versões mais recentes do kernel 6.4+
  • Fedora: atualizações automáticas via DNF para kernels 6.8+

Solução alternativa imediata (se atualização não for viável)

Enquanto aguarda a aplicação do patch, a Theori recomenda desabilitar o módulo vulnerável como medida temporária:

echo "install algif_aead /bin/false" | sudo tee /etc/modprobe.d/disable-algif-aead.conf
sudo rmmod algif_aead 2>/dev/null

Essa linha impede o carregamento do módulo algif_aead, eliminando a superfície de ataque — sem impacto significativo em funcionalidades comuns para a maioria dos usuários.

Atenção institucional: CISA inclui Copy Fail no catálogo KEV

A Agência de Segurança Cibernética e Segurança de Infraestrutura dos EUA (CISA) adicionou a vulnerabilidade ao seu catálogo de Known Exploited Vulnerabilities (KEV), exigindo que agências federais norte-americanas apliquem correções até 15 de maio de 2024.

Embora o Microsoft Security Response Center (MSRC) tenha relatado até o momento apenas atividades de proof-of-concept, a CISA orienta organizações públicas e privadas a tratar a correção como prioridade máxima, especialmente em ambientes de nuvem e infraestrutura compartilhada.

Conclusão: atualização é essencial — mas o risco varia

Para usuários domésticos que mantêm seus sistemas atualizados com frequência, o risco prático permanece baixo. Já para administradores de infraestrutura em nuvem, clusters containerizados ou ambientes de integração contínua, a falha representa uma ameaça real e imediata.

A rapidez da resposta da comunidade Linux — com patch em menos de 10 dias entre descoberta e inclusão no mainline — reforça a eficácia do modelo de desenvolvimento aberto na correção de falhas críticas. Ainda assim, a janela de exposição mostra que a atualização contínua de kernels não é opcional: é uma prática de segurança fundamental.

Via itsfoss.com. Você pode conferir o post original em inglês:

Copy Fail Linux Exploit

Por · Última atualização: