Uma vulnerabilidade recém-descoberta no kernel Linux, identificada como CVE-2026-46331 e apelidada de 'pedit COW', permite que um usuário local comum obtenha acesso root sem deixar rastros em arquivos no disco. A falha reside na sub-rede de controle de tráfego (traffic control) do kernel, especificamente na funcionalidade act_pedit, que manipula pacotes de rede. O problema permite a modificação de uma cópia em memória de um programa com setuid-root, como /bin/su, injetando código malicioso e executando-o com privilégios elevados. Como o arquivo original no disco permanece inalterado, as verificações de integridade convencionais podem falhar em detectar a intrusão, mesmo após o atacante ter obtido controle total do sistema.
A exploração bem-sucedida desta vulnerabilidade requer duas condições: o módulo act_pedit deve estar carregado no sistema, e os namespaces de usuário não privilegiados devem ser acessíveis a usuários comuns. Ao explorar um namespace de usuário, o atacante pode obter a capacidade CAP_NET_ADMIN, que é suficiente para acionar o caminho vulnerável no kernel. Testes em sistemas como RHEL e Debian confirmaram que ambas as condições podem ser atendidas. A raiz do problema está na implementação do mecanismo copy-on-write (COW). A função tcf_pedit_act() deveria criar uma cópia privada dos dados antes de editá-los, mas uma verificação de limite de escrita prematura permite que a escrita ultrapasse essa cópia privada, corrompendo uma página compartilhada no cache de páginas (page cache) em vez de um buffer isolado. Se essa página pertencer a um arquivo em disco, a imagem em memória do arquivo é alterada.
Embora a natureza da exploração em memória lembre outras vulnerabilidades como Dirty Pipe e DirtyClone, a novidade do 'pedit COW' reside na forma como o ataque é iniciado. Um usuário comum pode configurar ações de tc dentro de um namespace de usuário, obtendo as permissões necessárias sem privilégios administrativos reais no sistema principal. O autor de um proof-of-concept relatou sucesso na elevação de privilégios para root em RHEL 10 e Debian 13 Trixie, onde namespaces de usuário não privilegiados são habilitados por padrão. Em outras distribuições, como Ubuntu 24.04, o ataque pode ser possível através de perfis AppArmor que ainda permitem namespaces de usuário, enquanto versões mais recentes como Ubuntu 26.04 já bloqueiam esse vetor de ataque por padrão. A correção definitiva envolve a atualização do kernel para uma versão corrigida e a reinicialização do sistema. Para sistemas onde a atualização imediata não é viável, medidas paliativas incluem desabilitar o módulo act_pedit ou restringir o uso de namespaces de usuário não privilegiados, embora esta última medida possa impactar funcionalidades como contêineres rootless. É crucial notar que, mesmo após a limpeza do cache de memória, um sistema comprometido deve ser tratado como tal, pois a sessão root já estabelecida permanece ativa.
