A vulnerabilidade foi descoberta pela **Theori**, uma empresa de segurança ofensiva, usando sua plataforma de pentest baseada em IA, **Xint Code**, após escanear o subsistema criptográfico do Linux por cerca de uma hora. A **Theori** relatou a descoberta à equipe de segurança do kernel Linux em 23 de março, e patches foram disponibilizados em uma semana. Detalhes técnicos e um exploit de prova de conceito surgiram publicamente logo depois. Embora a empresa de cibersegurança tenha desenvolvido e testado um exploit em Python "100% confiável" para quatro distribuições Linux (**Ubuntu 24.04 LTS**, **Amazon Linux 2023**, **RHEL 10.1** e **SUSE 16**), os pesquisadores afirmam que o script de 732 bytes faz root em todas as distribuições Linux lançadas desde 2017. ### Causa Raiz do Copy Fail Em um [relato detalhado](https://xint.io/blog/copy-fail-linux-distributions), os pesquisadores explicam que o problema Copy Fail (**CVE-2026-31431**) "é um bug lógico no template criptográfico authencesn do kernel Linux" que permite a um usuário autenticado realizar de forma confiável uma "escrita de 4 bytes no page cache de qualquer arquivo legível no sistema". Ao combinar a interface baseada em socket 'AF_ALG', que concede acesso às funções criptográficas do kernel Linux a partir do user space, e a chamada de sistema `splice()`, um usuário sem privilégios pode fazer uma escrita controlada de 4 bytes no page cache de um arquivo, em vez de um buffer normal. Se esses 4 bytes atingirem um binário setuid-root, eles podem alterar seu comportamento quando executado, concedendo privilégios de root ao atacante. A falha foi introduzida em 2017, quando a equipe do kernel Linux adicionou uma otimização "in-place" ao caminho criptográfico, o que significa que começou a reutilizar o mesmo buffer em vez de manter as entradas e saídas estritamente separadas. ### Impacto e Correções O Proof-of-Concept (PoC) da **Theori** é um exploit de 732 bytes consistentemente eficaz que concede acesso root a todas as principais distribuições Linux executando uma versão vulnerável do Kernel Linux, de acordo com os pesquisadores. Eles demonstraram e confirmaram o exploit [Copy Fail](https://copy.fail/) no **Ubuntu 24.04**, **Amazon Linux 2023**, **RHEL 10.1** e **SUSE 16**:  O Copy Fail é caracterizado como mais próximo da vulnerabilidade '[Dirty Pipe](https://www.bleepingcomputer.com/news/security/new-linux-bug-gives-root-on-all-major-distros-exploit-released/)' do que falhas típicas de escalonamento de privilégios local, é mais confiável (sucesso alegado de 100%) e é mais amplamente explorável do que a maioria dos bugs desta classe. Mesmo quando comparado ao Dirty Pipe, o Copy Fail é considerado mais prático. "O Copy Fail é mais portátil. Um script, todas as distros, sem offsets. O Dirty Pipe precisava de kernel ≥ 5.8 com patches específicos; o Copy Fail cobre toda a janela de 2017-2026", observam os pesquisadores da **Theori**. [CVE-2026-31431](https://nvd.nist.gov/vuln/detail/CVE-2026-31431) foi corrigido upstream em 1º de abril, revertendo o comportamento criptográfico "in-place" problemático introduzido na versão 4.14 do kernel Linux em 2017. As correções foram disponibilizadas nas versões 6.18.22, 6.19.12 e 7.0. De acordo com os pesquisadores, as principais distribuições Linux já estão implementando a correção via atualizações de kernel. No entanto, o analista principal de vulnerabilidades da Tharros, Will Dormann, observa que não há "atualizações oficiais para CVE-2026-31431". "Fedora 42 e mais recentes têm atualizações, mas nenhum aviso oficial ou reconhecimento de CVE-2026-31431", [diz Dormann](http://infosec.exchange/@wdormann/116493725294723695). Como uma mitigação temporária para aqueles que ainda não receberam as atualizações, os pesquisadores recomendam desabilitar a interface criptográfica vulnerável, o que bloquearia a criação de sockets AF_ALG, ou desabilitar o módulo algif_aead: bash echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf rmmod algif_aead Os pesquisadores da **Theori** sugerem tratar hosts Linux multitenant, clusters Kubernetes/container, runners de CI/build farms e SaaS em nuvem executando código de usuário como prioridade no esforço de patching. ## [99% do que a Mythos encontrou ainda não foi corrigido.](https://hubs.li/Q04crVgD0) A IA encadeou quatro zero-days em um único exploit que contornou sandboxes de renderização e de sistema operacional. Uma onda de novos exploits está chegando. No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles se mantêm e fecha o ciclo de remediação. [Garanta Seu Lugar](https://hubs.li/Q04crVgD0)