CopyFail: Nova Vulnerabilidade LPE no Linux Permite Escalada de Privilégios e Acesso Root
Uma nova vulnerabilidade de escalada de privilégios (LPE) chamada CopyFail, afetando kernels Linux recentes, permite que usuários locais obtenham acesso root com um simples script Python. A falha, que existe desde 2017, permite a manipulação do cache de páginas, contornando mecanismos de segurança e facilitando a execução de código malicioso.
MundiX News·30 de abril de 2026·3 min de leitura·👁 1 views
Uma nova vulnerabilidade no kernel Linux, apelidada de CopyFail (CVE-2026-31431), está causando preocupação na comunidade de segurança cibernética. Descoberta por pesquisadores da Theori, a falha permite a escalada de privilégios (LPE), concedendo acesso root a usuários locais sem a necessidade de condições de corrida complexas ou exploits elaborados. A vulnerabilidade, que afeta a maioria das distribuições Linux lançadas após 2017, é explorada através de um curto script Python, tornando-a uma ameaça de fácil exploração.
A vulnerabilidade reside no componente criptográfico authencesn e foi introduzida em 2017 como resultado de uma otimização no código algif_aead. A falha permite que um usuário não privilegiado grave dados no cache de páginas, o que, por sua vez, permite a substituição de arquivos executáveis na memória. Isso contorna mecanismos de segurança que monitoram alterações no sistema de arquivos, como o inotify. A exploração bem-sucedida da CopyFail resulta na obtenção de acesso root, permitindo que o atacante execute comandos com privilégios elevados e comprometa o sistema.
A simplicidade da exploração é notável. Os pesquisadores demonstraram um Proof of Concept (PoC) com um script Python de apenas dez linhas (732 bytes). Este script manipula um binário setuid, concedendo acesso root. A vulnerabilidade é particularmente preocupante porque é aplicável a uma ampla gama de distribuições Linux, incluindo Ubuntu, RHEL, SUSE e Amazon Linux, sem a necessidade de adaptações específicas para cada sistema. A CopyFail se assemelha a vulnerabilidades como Dirty COW e Dirty Pipe, mas pode ser ainda mais universal e fácil de explorar. Além disso, a falha pode ser combinada com outras vulnerabilidades, como RCE em aplicações web, comprometimento de CI runners ou acesso SSH, tornando-a uma ameaça significativa em ambientes multitenant, contêineres e ambientes de integração contínua (CI).
A vulnerabilidade também representa um risco para contêineres, pois o cache de páginas é compartilhado em todo o sistema. Isso significa que a CopyFail pode ser usada como um primitivo para escapar de contêineres e atacar o host, incluindo nós Kubernetes. Diante da gravidade da ameaça, desenvolvedores de distribuições como Debian, Ubuntu e SUSE já lançaram patches para corrigir a CVE-2026-31431. A Red Hat, inicialmente hesitante, também está preparando atualizações para mitigar a vulnerabilidade.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Uma nova vulnerabilidade no kernel Linux, apelidada de CopyFail (CVE-2026-31431), está causando preocupação na comunidade de segurança cibernética. Descoberta por pesquisadores da Theori, a falha permite a escalada de privilégios (LPE), concedendo acesso root a usuários locais sem a necessidade de condições de corrida complexas ou exploits elaborados. A vulnerabilidade, que afeta a maioria das distribuições Linux lançadas após 2017, é explorada através de um curto script Python, tornando-a uma ameaça de fácil exploração.
A vulnerabilidade reside no componente criptográfico authencesn e foi introduzida em 2017 como resultado de uma otimização no código algif_aead. A falha permite que um usuário não privilegiado grave dados no cache de páginas, o que, por sua vez, permite a substituição de arquivos executáveis na memória. Isso contorna mecanismos de segurança que monitoram alterações no sistema de arquivos, como o inotify. A exploração bem-sucedida da CopyFail resulta na obtenção de acesso root, permitindo que o atacante execute comandos com privilégios elevados e comprometa o sistema.
A simplicidade da exploração é notável. Os pesquisadores demonstraram um Proof of Concept (PoC) com um script Python de apenas dez linhas (732 bytes). Este script manipula um binário setuid, concedendo acesso root. A vulnerabilidade é particularmente preocupante porque é aplicável a uma ampla gama de distribuições Linux, incluindo Ubuntu, RHEL, SUSE e Amazon Linux, sem a necessidade de adaptações específicas para cada sistema. A CopyFail se assemelha a vulnerabilidades como Dirty COW e Dirty Pipe, mas pode ser ainda mais universal e fácil de explorar. Além disso, a falha pode ser combinada com outras vulnerabilidades, como RCE em aplicações web, comprometimento de CI runners ou acesso SSH, tornando-a uma ameaça significativa em ambientes multitenant, contêineres e ambientes de integração contínua (CI).
A vulnerabilidade também representa um risco para contêineres, pois o cache de páginas é compartilhado em todo o sistema. Isso significa que a CopyFail pode ser usada como um primitivo para escapar de contêineres e atacar o host, incluindo nós Kubernetes. Diante da gravidade da ameaça, desenvolvedores de distribuições como Debian, Ubuntu e SUSE já lançaram patches para corrigir a CVE-2026-31431. A Red Hat, inicialmente hesitante, também está preparando atualizações para mitigar a vulnerabilidade.
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
