“Falha de Cópia” – Vulnerabilidade de Escalacao de Privilegios Locais no Linux (CVE-2026-31431)

Resumo

Copy Fail é uma vulnerabilidade de elevação de privilégio local no Linux rastreada como CVE-2026-31431 que permite a um usuário sem privilégios obter acesso root corrompendo o cache de página de um binário setuid por meio da exploração de AF_ALG and splice. A falha está presente em kernels Linux lançados desde 2017 e afeta todas as principais distribuições. A exploração requer apenas execução de código local e não depende de acesso à rede. Em termos práticos, o bug também pode ser usado para escapar de contêineres e comprometer ambientes compartilhados ou impulsionados por CI.

Investigação

Pesquisadores da Xint Code identificaram um Python proof-of-concept de 732 bytes que explora uma falha lógica no subsistema de criptografia do Linux, especificamente dentro de authencesn, e abusa de AF_ALG sockets para escrever dados controlados pelo invasor em uma página de cache de página. O exploit altera o binário setuid alvo na memória em vez de no disco, permitindo que o invasor obtenha um shell root real quando o binário é executado. O proof-of-concept público foi testado com sucesso em kernels usados nos ambientes Ubuntu, Amazon Linux, RHEL e SUSE.

Mitigação

A principal correção é aplicar o patch do kernel que reverte a otimização ‘in-place’ de 2017 algif_aead introduzida pelo commit a664bf3d603d. Os fornecedores de Linux já estão lançando versões corrigidas. Como medida de segurança provisória, os administradores podem colocar na lista negra o algif_aead módulo por meio do modprobe e removê-lo do kernel em execução. Para workloads não confiáveis, bloquear a criação de AF_ALG sockets com seccomp oferece uma camada adicional de proteção.

Resposta

As equipes de segurança devem verificar imediatamente as versões do kernel e o status dos patchs em todos os sistemas Linux. Pacotes de kernel atualizados ou backports de fornecedores devem ser implantados assim que possível. Onde a correção não puder acontecer imediatamente, os defensores devem colocar na lista negra o algif_aead módulo e impor regras de seccomp que bloqueiem o uso de AF_ALG sockets. O monitoramento também deve cobrir mudanças suspeitas envolvendo binários setuid e padrões de execução que se assemelhem a copy_fail_exp.py ou comportamento de exploração relacionado.