05 maio Falha grave no Linux permite acesso root a qualquer usuário
Uma brecha de segurança descoberta no Linux permite que qualquer pessoa com acesso básico a um computador assuma o controle completo da máquina. A falha foi encontrada durante testes da empresa de segurança ofensiva Theori.
A vulnerabilidade, chamada de Copy Fail e identificada como CVE-2026-31431, existe há quase uma década e afeta praticamente todos os sistemas Linux lançados desde 2017. Um código de ataque já está disponível publicamente.
Linux é o sistema operacional que roda a maior parte da internet. Servidores de empresas, serviços de nuvem, sistemas bancários e grande parte dos servidores corporativos do mundo rodam sobre ele. A falha afeta todas as principais distribuições testadas, incluindo Ubuntu, Red Hat, Amazon Linux e SUSE.
Os quatro terminais partem de um usuário comum (uid=1001) e terminam com acesso root em Ubuntu 24.04, Amazon Linux 2023, RHEL 10.1 e SUSE 16, sem qualquer adaptação do script entre uma distribuição e outra. Imagem: Xint.
O que a falha permite
Em condições normais, um usuário comum de um sistema Linux não tem permissão para alterar arquivos do sistema nem executar ações administrativas. Isso é uma proteção básica. Um funcionário sem privilégios, por exemplo, não deveria conseguir instalar programas ou acessar dados de outros usuários.
O Copy Fail quebra essa proteção. Com um script de 732 bytes em Python, qualquer usuário sem nenhum privilégio especial consegue escalar seu acesso até o nível máximo do sistema, chamado de root. É como entrar em um prédio com crachá de visitante e sair com a chave-mestra de todos os andares.
Como o ataque funciona, em termos simples
Quando o Linux lê um arquivo do disco, ele guarda uma cópia desse arquivo na memória RAM para acessos futuros serem mais rápidos. Essa área se chama page cache. É essa cópia em memória que o sistema usa quando abre ou executa um programa.
Resultado da varredura automatizada feita pela plataforma Xint Code, da Theori, que identificou o Copy Fail como a vulnerabilidade de maior severidade no subsistema criptográfico do kernel Linux após cerca de uma hora de análise. Imagem: Xint.
A falha permite que um atacante altere essa cópia em memória. O arquivo no disco continua intacto, mas a versão que o sistema vai usar está corrompida. Se o arquivo alterado for um programa com permissões de administrador, como o comando su, o atacante pode injetar instruções maliciosas nessa cópia e depois executar o programa. O sistema obedece às instruções injetadas com permissão total.
O ataque funciona sem travar o sistema, sem tentativas repetidas e sem deixar rastro nos arquivos do disco. Ferramentas comuns de segurança que verificam a integridade dos arquivos não detectam nada, porque comparam o arquivo no disco, que permanece original.
O problema vai além de um único computador
A falha também afeta ambientes de nuvem e containers. Containers são uma tecnologia usada por empresas para rodar vários serviços isolados dentro de um mesmo servidor físico.
A exploração do Copy Fail não exige conhecimento técnico avançado: um script de 732 bytes em Python é suficiente para que qualquer usuário local obtenha controle total sobre o sistema.
O Copy Fail consegue furar esse isolamento, já que um atacante dentro de um container pode afetar outros containers ou o próprio servidor hospedeiro. A Theori vai detalhar esse vetor de ataque em um segundo artigo.
A correção já existe
A Theori reportou a falha à equipe de segurança do kernel do Linux em 23 de março. Em uma semana, o patch estava pronto. A correção foi lançada nas versões 6.18.22, 6.19.12 e 7.0 do kernel, e as principais distribuições já estão distribuindo a atualização.
Quem ainda não recebeu a atualização pode desativar o componente vulnerável manualmente via terminal, o que bloqueia o caminho de ataque sem afetar o funcionamento geral do sistema.
A recomendação da Theori é tratar a atualização como urgente, especialmente em servidores compartilhados, ambientes de nuvem e qualquer infraestrutura que execute código de terceiros.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.