A comunidade de cibersegurança está em alerta máximo após relatos de que atores de ameaças estão explorando ativamente a vulnerabilidade de segurança do Linux 'Copy Fail', apenas um dia após sua divulgação por pesquisadores da **Theori**. A urgência decorre do potencial de usuários locais sem privilégios obterem privilégios de root em sistemas afetados. ## CVE-2026-31431: A Vulnerabilidade 'Copy Fail' Rastreada como **CVE-2026-31431**, essa falha de segurança reside na interface do algoritmo criptográfico algif_aead do kernel do Linux. A vulnerabilidade permite que usuários locais escalem privilégios escrevendo quatro bytes controlados para o cache de página de qualquer arquivo legível. Isso lhes concede acesso root em sistemas Linux sem patches. ## Exploit de Prova de Conceito Liberado Pesquisadores da **Theori** divulgaram publicamente a vulnerabilidade e liberaram um exploit de prova de conceito (PoC) escrito em Python. De acordo com os pesquisadores, o exploit é altamente confiável, alcançando acesso root "100% confiável" em dispositivos **Ubuntu 24.04 LTS**, **Amazon Linux 2023**, **RHEL 10.1** e **SUSE 16**. Além disso, a **Theori** afirma que o mesmo script de exploit pode ser usado contra quase qualquer distribuição Linux lançada desde 2017 com uma versão de kernel vulnerável. "Mesmo script, quatro distribuições, quatro shells root — em uma única execução. O mesmo binário de exploit funciona sem modificações em todas as distribuições Linux," declarou a **Theori**. "Se o seu kernel foi compilado entre 2017 e o patch — o que abrange essencialmente todas as distribuições Linux mainstream — você está no escopo." ## Esforços de Patching e Atrasos Iniciais Embora as principais distribuições Linux tenham começado a emitir atualizações de kernel para corrigir a vulnerabilidade, **Will Dormann**, analista principal de vulnerabilidades na Tharros, observou que atualizações oficiais não estavam disponíveis no momento do aviso da **Theori**.  *Obtendo shell root em quatro distros Linux (Theori)* ## Diretiva e Recomendações da CISA Na sexta-feira, a **CISA** adicionou a vulnerabilidade 'Copy Fail' ao seu Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Esta ação exige que as agências do Ramo Executivo Civil Federal (FCEB) apliquem patches em seus endpoints e servidores Linux até 15 de maio, conforme estipulado pela Diretiva Operacional Vinculante (BOD) 22-01. "Este tipo de vulnerabilidade é um vetor de ataque frequente para atores cibernéticos maliciosos e representa riscos significativos para a empresa federal," alertou a agência de cibersegurança dos EUA. A **CISA** instou as agências a "Aplicar mitigações de acordo com as instruções do fornecedor, seguir as orientações aplicáveis da BOD 22-01 para serviços em nuvem ou descontinuar o uso do produto se as mitigações não estiverem disponíveis." Embora a BOD 22-01 vise especificamente agências do governo dos EUA, a **CISA** aconselha fortemente todas as equipes de segurança a priorizarem o patching da **CVE-2026-31431** para proteger suas redes. ## Histórico Recente de Vulnerabilidades no Kernel do Linux Este incidente ocorre logo após outra vulnerabilidade de escalonamento de privilégios de root de alta gravidade, **CVE-2026-41651** (apelidada de Pack2TheRoot), que foi corrigida por distribuições Linux no mês passado. Essa vulnerabilidade persistiu por mais de uma década no daemon PackageKit. [](https://hubs.li/Q04crVgD0)