- Vulnerabilidade Copy Fail, CVE-2026-31431, permite que usuário sem privilégios obtenha acesso root por meio de um script de 732 bytes em Python, conforme apurado pela Theori.
- Afeta o kernel Linux desde 2017 e pode impactar major distribuições, incluindo Ubuntu, Red Hat, Amazon Linux e SUSE, além de ambientes de nuvem e containers.
- O ataque atua ao modificar a cópia em memória de um arquivo (page cache), fazendo o sistema executar código com privilégios de administrador sem alterar o arquivo no disco.
- A correção já está disponível nas versões do kernel 6.18.22, 6.19.12 e 7.0; distribuições já estão implementando o patch.
- A Theori recomenda atualização urgente, especialmente em servidores, ambientes de nuvem e infraestruturas que executam código de terceiros; o vetor pode afetar isolamento em containers e no hospedeiro.
Uma falha de segurança no kernel Linux permite que usuários comuns assumam o controle total do sistema, passando a ter acesso root. A vulnerabilidade, chamada Copy Fail e identificada como CVE-2026-31431, foi descoberta pela Theori durante testes de segurança ofensiva. O problema afeta diversas distribuições Linux desde 2017 e já tem ataque público disponível.
A brecha foi confirmada pela Theori após análise com suas plataformas de verificação. Em ambientes de nuvem e containers, o risco é ainda maior, pois o ataque pode ultrapassar limites entre containers e o host. O código de ataque tem apenas 732 bytes em Python e não requer privilégios para iniciar a exploração.
A Theori informa que a falha reside no manejo da memória durante a leitura de arquivos no disco. Ao ler, o sistema cria uma cópia em memória chamada page cache; com a exploração, o atacante corrompe essa cópia e injeta instruções maliciosas em programas com permissões administrativas, como o comando su.
O ataque não trava o sistema nem deixa rastros em discos. Ferramentas de integridade que comparam arquivos no disco não detectam alterações, pois o arquivo permanece original na mídia. Assim, a exploração ocorre de forma silenciosa, sem indicações visíveis de fraude.
O problema afeta majoritárias distribuições testadas, entre elas Ubuntu, Red Hat, Amazon Linux e SUSE. Dados da Theori apontam que o impacto se estende a ambientes de nuvem e a contêineres, onde o isolamento entre serviços pode ser comprometido pelo atacante.
A correção já está disponível. A Theori comunicou o incidente aos mantenedores do kernel Linux em 23 de março. Em cerca de uma semana, patches foram publicados para as versões 6.18.22, 6.19.12 e 7.0 do kernel, com distribuição já recebendo a atualização pela maioria das distros.
Quem ainda não atualizou pode desativar o componente vulnerável via terminal para bloquear o vetor de ataque sem comprometer o funcionamento do sistema. A recomendação é aplicar a atualização com urgência, especialmente em servidores, ambientes de nuvem e infraestruturas que executem código de terceiros.
A Theori pretende detalhar, em artigo subsequente, outros vetores de ataque associados ao Copy Fail, incluindo cenários em containers. O tema é monitorado por comunidades de segurança e pela documentação das distribuições afetadas.
Entre na conversa da comunidade