Pesquisadores analisaram uma grave vulnerabilidade no Linux que permite que usuários não confiáveis elevem seus privilégios ao nível de root, explorando um erro raro — apenas um caractere digitado incorretamente no código do kernel.
Fonte da imagem: Fotis Fotopoulos / unsplash.com
A vulnerabilidade, rastreada como CVE-2026-23111, reside no nf_tables, um subsistema do kernel Linux que fornece recursos de filtragem de pacotes. Ele é usado para gerenciar regras de firewall e substitui subsistemas mais antigos como iptables, ip6tables, arptables e ebtables.
Um único ponto de exclamação inserido incorretamente no código que implementa o nf_tables resultou em uma vulnerabilidade de uso após liberação (use-after-free) que corrompe a memória, colocando código malicioso em endereços de memória que não foram devidamente liberados de seu conteúdo anterior. A vulnerabilidade CVE-2026-23111 pode ser explorada por um usuário ou processo sem privilégios para elevar os privilégios do sistema ao nível root.
A vulnerabilidade opera interrompendo o processo de remoção de veredictos — definições dentro da estrutura do nf_tables que determinam se um pacote corresponde a uma regra que exige uma ação específica. Este processo pode utilizar os chamados elementos “catchall”, que atuam como curingas caso a busca não corresponda a nenhum outro elemento no conjunto.
Quando um mapa de veredictos é removido da memória, os elementos “catchall” são desativados e o contador de referências da cadeia é decrementado. Se ocorrerem erros, a remoção pode ser desfeita e o contador incrementado. A vulnerabilidade CVE-2026-23111 altera esse processo. Como resultado, um exploit pode decrementar uma variável um número arbitrário de vezes e, em seguida, remover e liberar a cadeia enquanto alguns objetos ainda apontam para ela.
“Aqui, examinamos como um único ponto de exclamação incorreto levou a uma vulnerabilidade de uso após uso.””Foi descoberta uma vulnerabilidade que um usuário sem privilégios pode explorar no Debian e no Ubuntu para escalar privilégios para root. Embora a exploração acione repetidamente uma vulnerabilidade de uso após liberação (use-after-free), levando a um vazamento do endereço base do kernel, um vazamento do endereço do heap e um sequestro do fluxo de controle, os testes de estabilidade mostraram uma estabilidade superior a 99% em um sistema ocioso”, relataram pesquisadores da Exodus Intelligence na segunda-feira.
A vulnerabilidade foi corrigida no kernel em fevereiro. A FuzzingLabs demonstrou a exploração em abril. A Exodus Intelligence, que descobriu o bug, incluiu sua própria exploração em uma publicação na segunda-feira. Ela funcionou no Debian e no Ubuntu.
A CVE-2026-23111 é uma das pelo menos três vulnerabilidades de escalonamento de privilégios de alto impacto descobertas no Linux nas últimas semanas. Essas vulnerabilidades são particularmente perigosas porque, quando combinadas com uma exploração separada, podem ser usadas para burlar as proteções de segurança integradas do sistema operacional.