Código de exploração divulgado publicamente para uma vulnerabilidade efetivamente sem correção que concede acesso root a praticamente todas as versões do Linux está soando o alarme, enquanto os defensores correm para evitar comprometimentos severos em data centers e dispositivos pessoais. A vulnerabilidade e o código de exploração que a explora foram divulgados na noite de quarta-feira por pesquisadores da empresa de segurança **Theori**, cinco semanas após divulgá-la privadamente à equipe de segurança do kernel Linux. A equipe corrigiu a vulnerabilidade nas versões 7.0, 6.19.12, 6.18.12, 6.12.85, 6.6.137, 6.1.170, 5.15.204 e 5.10.254), mas poucas das distribuições Linux haviam incorporado essas correções no momento em que o exploit foi liberado. ## Um Único Script para Hackear Todos Eles A falha crítica, rastreada como **CVE-2026-31431** e com o nome CopyFail, é um escalonamento de privilégios local, uma classe de vulnerabilidade que permite que usuários sem privilégios se elevem a administradores. O CopyFail é particularmente grave porque pode ser explorado com um único pedaço de código de exploração – liberado na divulgação de quarta-feira – que funciona em todas as distribuições vulneráveis sem modificação. Com isso, um atacante pode, entre outras coisas, hackear sistemas multi-tenant, sair de contêineres baseados em Kubernetes ou outros frameworks, e criar pull requests maliciosos que enviam o código de exploração através de fluxos de trabalho CI/CD. “‘Escalonamento de privilégios local’ soa seco, então deixe-me explicar”, escreveu o pesquisador Jorijn Schrijvershof na quinta-feira. “Significa: Um atacante que já tem alguma forma de executar código na máquina, mesmo como o usuário sem privilégios mais comum, pode se promover a root. A partir daí, ele pode ler todos os arquivos, instalar backdoors, monitorar todos os processos e pivotar para outros sistemas.” Schrijvershof acrescentou que o mesmo script Python que a Theori liberou funciona de forma confiável para Ubuntu 22.04, Amazon Linux 2023, SUSE 15.6 e Debian 12. O pesquisador continuou: > Por que isso importa em infraestrutura compartilhada? Porque “local” abrange muita coisa em 2026: cada contêiner em um nó Kubernetes compartilhado, cada tenant em uma caixa de hospedagem compartilhada, cada job CI/CD que executa código de pull request não confiável, cada instância WSL2 em um laptop Windows, cada agente de IA em contêiner com acesso shell. Todos eles compartilham um kernel Linux com seus vizinhos. Um LPE de kernel colapsa essa fronteira. > > A cadeia de ameaças realista se parece com isto. Um atacante explora uma vulnerabilidade conhecida em um plugin WordPress e obtém acesso shell como www-data. Eles executam o PoC copy.fail. Eles agora são root no host. Todos os outros tenants são subitamente alcançáveis, da maneira que descrevi neste post-mortem de hack. A vulnerabilidade não coloca o atacante na caixa; ela muda o que acontece nos próximos dez segundos após eles pousarem lá. A vulnerabilidade se origina de uma falha lógica em “linha reta” na API criptográfica do kernel. Muitos exploits que exploram condições de corrida e falhas de corrupção de memória não são consistentemente bem-sucedidos em diferentes versões de kernel ou distribuições, e às vezes até na mesma máquina. Como o código liberado para CopyFail explora uma falha lógica, “a confiabilidade não é probabilística, e o mesmo script funciona em diferentes distribuições”, escreveram pesquisadores da **Bugcrowd**. “Sem janela de corrida, sem offset de kernel.” CopyFail recebe seu nome porque o processo de template AEAD authencesn (usado para números de sequência estendidos IPsec) não copia os dados quando deveria. Em vez disso, ele “usa o buffer de destino do chamador como um bloco de rascunho, escreve 4 bytes além da região de saída legítima e nunca os restaura”, disse a Theori. “A ‘cópia’ dos bytes AAD ESN ‘falha’ em permanecer dentro do buffer de destino.” ## A Pior Vulnerabilidade Linux em Anos Outros especialistas em segurança ecoaram a perspectiva de que CopyFail representa uma ameaça séria, com um deles dizendo que é a “pior vulnerabilidade make-me-root no kernel em tempos recentes”. A vulnerabilidade Linux mais recente desse tipo foi Dirty Pipe em 2022 e Dirty Cow em 2016. Ambas as vulnerabilidades foram ativamente exploradas na natureza. Distribuidores Linux frequentemente mantêm versões de kernel mais antigas e aplicam correções retroativamente. Não há indicação no prazo de divulgação de que a Theori tenha contatado os distribuidores. Com o exploit disponível antes que as distribuições corrigidas estivessem disponíveis, a divulgação se assemelha muito a uma vulnerabilidade zero-day sendo liberada, embora o termo mais preciso seja provavelmente “lacuna de patch zero-day”. “A organização que fez a divulgação… fez um trabalho absolutamente terrível de coordenação de vulnerabilidades”, disse Will Dormann, analista sênior de vulnerabilidades da **Tharros Labs**, em uma entrevista. “O que me deixa perplexo é que em seu relatório eles (A) listam 4 fornecedores afetados e (B) dizem aos leitores para aplicar patches de fornecedores. Mas antes de disparar com a publicação, eles não se preocuparam em ver se QUALQUER UM dos fornecedores que eles listam REALMENTE TEM PATCHES. (Nenhum tem).” Tentativas de contatar representantes da Theori não foram bem-sucedidas. Distribuições conhecidas por terem corrigido a vulnerabilidade incluíam Arch Linux e RedHat Fedora. Aquelas conhecidas por terem liberado orientações de mitigação no momento em que esta postagem foi ao ar incluíam: * SUSE * Debian Os usuários são instados a atualizar seus sistemas imediatamente e aplicar os patches ou mitigações disponíveis.