Uma vulnerabilidade perigosa foi descoberta na maioria das distribuições Linux: 732 bytes de código concedem acesso root a qualquer pessoa.

Os desenvolvedores do Xint Code, uma solução de segurança baseada em IA, descobriram uma vulnerabilidade perigosa no kernel do Linux e, consequentemente, na maioria das distribuições Linux populares. Essa vulnerabilidade, chamada Copy Fail e identificada como CVE-2026-31431, permite que qualquer usuário sem privilégios obtenha acesso root em praticamente qualquer servidor ou PC Linux. Isso pode ser feito com apenas 732 bytes de código Python.

Fonte da imagem: AltumCode / unsplash.com

A vulnerabilidade Copy Fail está relacionada à forma como o Linux lida com arquivos. O sistema operacional não lê os dados do disco rígido ou da unidade de estado sólido (SSD) a cada acesso a um arquivo, mas sim grava seu conteúdo em uma área especial da RAM chamada Cache de Páginas, que é dividida em fragmentos de 4 KB (páginas). Esse cache é compartilhado por todo o sistema — até mesmo processos dentro de contêineres Docker em servidores acessam o mesmo cache. A vulnerabilidade é explorada por meio do programa su (Switch User ou Substitute User), que permite que um usuário padrão obtenha privilégios de administrador ao inserir sua senha, tornando-o um alvo frequente de hackers.

O script, que requer Python 3.10 ou posterior e tem apenas 732 bytes, permite modificar apenas quatro bytes dentro do programa su ou de qualquer outro programa. Ele acessa não o arquivo correspondente no disco, mas sua cópia no cache de páginas da RAM — e é executado com privilégios de root. Isso é possível graças a três recursos do Linux: a interface AF_ALG, que permite o acesso a algoritmos criptográficos no kernel do Linux; a função splice(), que permite o acesso ao kernel do sistema operacional a partir do cache de páginas de qualquer arquivo, desde que o usuário tenha pelo menos permissões de leitura para esse arquivo; e o algoritmo authencesn no sistema de conexão de rede segura IPsec, que usa parte da memória alocada como “espaço temporário” e grava os quatro bytes mencionados diretamente nas páginas de cache do usuário su.O arquivo do programa em si permanece intacto no disco.Portanto, as soluções de segurança não detectam essa alteração.

O perigo do esquema proposto reside no fato de que ele não requer nenhuma condição especial e funciona na primeira tentativa; um único script, aplicável a todas as distribuições, opera de forma oculta e permanece indetectável; e, por fim, um atacante tem a capacidade de escalar além dos contêineres Docker ou Kubernetes até o nível do servidor. Para solucionar essa vulnerabilidade, os pesquisadores que a descobriram desenvolveram uma correção que reverte uma otimização do Linux lançada em 2017. Quando instalada, ela impede que fragmentos do cache de páginas entrem na memória gravável. Recomenda-se que os administradores de sistemas Linux atualizem prontamente o kernel do sistema para a versão mais recente disponível; como solução alternativa temporária, o módulo algif_aead, que apresenta riscos, na interface AF_ALG também pode ser desativado.