A **CISA** emitiu um alerta sobre a **CVE-2026-31431**, uma vulnerabilidade de escalação de privilégios local que afeta várias distribuições Linux. A vulnerabilidade, também conhecida como **Copy Fail**, permite que um usuário local sem privilégios obtenha acesso root. ### Detalhes Técnicos do Copy Fail A vulnerabilidade, rastreada como **CVE-2026-31431** (pontuação CVSS: 7.8), decorre de uma transferência incorreta de recursos dentro do kernel Linux. De acordo com pesquisadores da Theori e Xint, **Copy Fail** é um bug lógico no template criptográfico de autenticação do kernel Linux. Isso permite que atacantes acionem trivialmente a escalação de privilégios usando um exploit Python relativamente pequeno, de 732 bytes. A falha foi introduzida por meio de alterações aparentemente inofensivas no kernel Linux em 2011, 2015 e 2017. ### Impacto e Sistemas Afetados Esta vulnerabilidade de alta gravidade afeta distribuições Linux lançadas desde 2017. Ela permite que um usuário local sem privilégios obtenha acesso de nível root, corrompendo o [page cache](https://en.wikipedia.org/wiki/Page_cache) em memória do kernel de qualquer arquivo legível, incluindo binários setuid. A **Wiz**, uma empresa de segurança pertencente ao **Google**, explica que modificar o page cache altera efetivamente os binários no momento da execução, sem modificar o disco. Isso permite que atacantes injetem código em binários privilegiados (por exemplo, /usr/bin/su) para obter privilégios de root.  ### Ambientes Containerizados em Risco A prevalência do Linux em ambientes de nuvem amplifica significativamente o impacto desta vulnerabilidade. A **Kaspersky** alerta que **Copy Fail** representa um sério risco para ambientes containerizados como **Docker**, **LXC** e **Kubernetes**. Essas plataformas frequentemente concedem acesso a processos dentro de um contêiner ao subsistema AF_ALG se o módulo algif_aead for carregado no kernel do host por padrão. A **Kaspersky** observa ainda que a exploração é relativamente simples e difícil de detectar, pois o exploit utiliza apenas chamadas de sistema legítimas. Isso dificulta a distinção do comportamento normal da aplicação. ### Disponibilidade de Exploit e Atividade de Atores de Ameaça Um exploit de prova de conceito (PoC) totalmente funcional está publicamente disponível. A **Kaspersky** detectou versões em Go e Rust da implementação original em Python em repositórios de código aberto. A **Microsoft Defender Security Research Team** observou atividade preliminar de testes, sugerindo um aumento potencial na exploração por atores de ameaça no futuro próximo. ### Análise da Microsoft e Vetores de Ataque De acordo com a **Microsoft**, o vetor de ataque é local e requer baixos privilégios, sem interação do usuário. Embora não seja explorável remotamente isoladamente, torna-se altamente impactante quando encadeado com um vetor de acesso inicial, como acesso Secure Shell (SSH), execução maliciosa de jobs de CI ou pontos de apoio em contêineres. A **Microsoft** descreveu um cenário de ataque potencial: 1. Reconhecimento para identificar um host ou contêiner Linux vulnerável. 2. Preparação de um gatilho em Python. 3. Execução do exploit a partir de um contexto de baixo privilégio. 4. Sobrescrita controlada de 4 bytes no page cache do kernel, levando à corrupção de dados sensíveis gerenciados pelo kernel. 5. Escalação para UID 0 e privilégios de root completos. ### Remediação e Mitigação Agências da Força Executiva Civil Federal (FCEB) são obrigadas a aplicar correções até 15 de maio de 2026. Patches foram lançados pelas distribuições Linux afetadas. Se a aplicação imediata de patches não for viável, as organizações devem desabilitar o recurso afetado, implementar isolamento de rede e aplicar controles de acesso rigorosos.