Semana de Segurança 2619: Detalhes da Vulnerabilidade Copy Fail no Kernel Linux
A "Copy Fail" é uma vulnerabilidade crítica no kernel Linux que permite a elevação de privilégios localmente. O artigo detalha a falha, sua exploração, impacto em ambientes conteinerizados e como detectar ataques. Além disso, aborda outras notícias de segurança, como ataques, vulnerabilidades em cPanel e plugins WordPress comprometidos.
MundiX News·12 de maio de 2026·3 min de leitura·👁 4 views
Semana de Segurança 2619: Detalhes da Vulnerabilidade Copy Fail no Kernel Linux
Uma das notícias mais importantes da semana passada foi a divulgação de informações sobre uma vulnerabilidade perigosa no kernel Linux, apelidada de Copy Fail. Essa falha oferece uma maneira relativamente simples de obter elevação de privilégios localmente. Os autores da pesquisa original não hesitaram em promover um assistente de IA para análise de código, que encontrou o problema em apenas uma hora. Pesquisadores da Kaspersky Lab conduziram uma análise da vulnerabilidade e propuseram métodos para detectar ataques que a utilizam.
A vulnerabilidade recebeu o identificador CVE-2026-31431 e uma pontuação de 7,8 na escala CVSS. O erro foi introduzido no código do módulo do kernel algif_aead em 2017, quando foi adicionado suporte para otimizações in-place ao trabalhar com o sistema de criptografia AEAD. Isso, por sua vez, levou a um defeito no tratamento de buffers, dando a um potencial invasor a capacidade de modificar de forma controlada o conteúdo do cache de qualquer arquivo legível.
O exploit publicado pelos descobridores grava quatro bytes controlados no cache de um arquivo executável. Ou seja, o código do programa é modificado diretamente na memória RAM, e na próxima inicialização ele executa ações maliciosas com direitos de superusuário. A vulnerabilidade tem duas características principais: por um lado, é extremamente fácil de explorar; por outro, a elevação de privilégios requer acesso local ao sistema. Consequentemente, a nova vulnerabilidade é particularmente importante para ambientes conteinerizados. Por padrão, tecnologias como Docker, LXC e Kubernetes fornecem aos processos dentro do contêiner acesso ao subsistema AF_ALG vulnerável, se o módulo algif_aead mencionado anteriormente estiver carregado no kernel do host. Nesse caso, Copy Fail torna possível escapar do ambiente virtual.
Especialistas da Kaspersky Lab fornecem opções para detectar a atividade do exploit original em Python. Uma característica distintiva de seu trabalho é uma cadeia de processos Python - Shell - e, em seguida, a execução de um arquivo executável privilegiado. Em princípio, qualquer método de exploração da vulnerabilidade pode ser detectado por meio de operações suspeitas de leitura de arquivos binários com o bit suid, como su, sudo, newgrp, passwd, gpasswd, chfn, mount, umount, fusermount, fusermount3, chsh e similares. Os dados sobre a vulnerabilidade foram enviados aos desenvolvedores do kernel Linux em março deste ano, e os patches (essencialmente, removendo a "otimização" de 2017) foram lançados em 1º de abril. Se for impossível atualizar o kernel por algum motivo, recomenda-se bloquear o carregamento do módulo algif_aead.
O que mais aconteceu
Em duas novas publicações, especialistas da Kaspersky Lab estudam ataques do grupo Silver Fox usando o novo backdoor ABCDoor em organizações na Rússia e na Índia, bem como analisam o método de uso do serviço Amazon SES para enviar mensagens de phishing.
Uma vulnerabilidade crítica foi descoberta na ferramenta de gerenciamento de servidores cPanel. O problema recebeu o identificador CVE-2026-41940 e uma pontuação de perigo próxima ao máximo de 9,8 em 10 na escala CVSS. A vulnerabilidade, explorada no momento da descoberta, permite contornar o sistema de autenticação e obter controle total sobre o painel de controle.
Um plugin popular para WordPress, conhecido como Quick Page/Post Redirect (70 mil instalações), continha um backdoor por muitos anos. Um mecanismo de atualização de um recurso de terceiros foi adicionado ao código do plugin por volta de 2020-2021, o que permitiu carregar e executar código arbitrário no servidor.
Os incidentes de comprometimento de pacotes NPM populares continuam: os repositórios oficiais da SAP, os pacotes Lightning e elementary-data foram hackeados.
Uma vulnerabilidade no GitHub, que permitia acesso não autorizado a repositórios privados, foi corrigida.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Semana de Segurança 2619: Detalhes da Vulnerabilidade Copy Fail no Kernel Linux
Uma das notícias mais importantes da semana passada foi a divulgação de informações sobre uma vulnerabilidade perigosa no kernel Linux, apelidada de Copy Fail. Essa falha oferece uma maneira relativamente simples de obter elevação de privilégios localmente. Os autores da pesquisa original não hesitaram em promover um assistente de IA para análise de código, que encontrou o problema em apenas uma hora. Pesquisadores da Kaspersky Lab conduziram uma análise da vulnerabilidade e propuseram métodos para detectar ataques que a utilizam.
A vulnerabilidade recebeu o identificador CVE-2026-31431 e uma pontuação de 7,8 na escala CVSS. O erro foi introduzido no código do módulo do kernel algif_aead em 2017, quando foi adicionado suporte para otimizações in-place ao trabalhar com o sistema de criptografia AEAD. Isso, por sua vez, levou a um defeito no tratamento de buffers, dando a um potencial invasor a capacidade de modificar de forma controlada o conteúdo do cache de qualquer arquivo legível.
O exploit publicado pelos descobridores grava quatro bytes controlados no cache de um arquivo executável. Ou seja, o código do programa é modificado diretamente na memória RAM, e na próxima inicialização ele executa ações maliciosas com direitos de superusuário. A vulnerabilidade tem duas características principais: por um lado, é extremamente fácil de explorar; por outro, a elevação de privilégios requer acesso local ao sistema. Consequentemente, a nova vulnerabilidade é particularmente importante para ambientes conteinerizados. Por padrão, tecnologias como Docker, LXC e Kubernetes fornecem aos processos dentro do contêiner acesso ao subsistema AF_ALG vulnerável, se o módulo algif_aead mencionado anteriormente estiver carregado no kernel do host. Nesse caso, Copy Fail torna possível escapar do ambiente virtual.
Especialistas da Kaspersky Lab fornecem opções para detectar a atividade do exploit original em Python. Uma característica distintiva de seu trabalho é uma cadeia de processos Python - Shell - e, em seguida, a execução de um arquivo executável privilegiado. Em princípio, qualquer método de exploração da vulnerabilidade pode ser detectado por meio de operações suspeitas de leitura de arquivos binários com o bit suid, como su, sudo, newgrp, passwd, gpasswd, chfn, mount, umount, fusermount, fusermount3, chsh e similares. Os dados sobre a vulnerabilidade foram enviados aos desenvolvedores do kernel Linux em março deste ano, e os patches (essencialmente, removendo a "otimização" de 2017) foram lançados em 1º de abril. Se for impossível atualizar o kernel por algum motivo, recomenda-se bloquear o carregamento do módulo algif_aead.
O que mais aconteceu
Em duas novas publicações, especialistas da Kaspersky Lab estudam ataques do grupo Silver Fox usando o novo backdoor ABCDoor em organizações na Rússia e na Índia, bem como analisam o método de uso do serviço Amazon SES para enviar mensagens de phishing.
Uma vulnerabilidade crítica foi descoberta na ferramenta de gerenciamento de servidores cPanel. O problema recebeu o identificador CVE-2026-41940 e uma pontuação de perigo próxima ao máximo de 9,8 em 10 na escala CVSS. A vulnerabilidade, explorada no momento da descoberta, permite contornar o sistema de autenticação e obter controle total sobre o painel de controle.
Um plugin popular para WordPress, conhecido como Quick Page/Post Redirect (70 mil instalações), continha um backdoor por muitos anos. Um mecanismo de atualização de um recurso de terceiros foi adicionado ao código do plugin por volta de 2020-2021, o que permitiu carregar e executar código arbitrário no servidor.
Os incidentes de comprometimento de pacotes NPM populares continuam: os repositórios oficiais da SAP, os pacotes Lightning e elementary-data foram hackeados.
Uma vulnerabilidade no GitHub, que permitia acesso não autorizado a repositórios privados, foi corrigida.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
