⚡ Não perca: notÃcia importante no ar! ⚡
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou na sexta-feira uma falha de segurança recentemente divulgada que afeta várias distribuições Linux ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), citando evidências de exploração ativa em estado selvagem.
A vulnerabilidade, rastreada como CVE-2026-31431 (pontuação CVSS: 7,8), é um caso de falha de escalonamento de privilégios locais (LPE) que pode permitir que um usuário local sem privilégios obtenha root. A falha de nove anos também é rastreada como Copy Fail por Theori e Xint. Correções foram disponibilizadas nas versões 6.18.22, 6.19.12 e 7.0 do kernel Linux.
“O kernel do Linux contém uma vulnerabilidade incorreta de transferência de recursos entre esferas que pode permitir escalonamento de privilégios”, disse a CISA em um comunicado.
Em um artigo publicado no inÃcio desta semana, os pesquisadores disseram que Copy Fail é o resultado de um bug lógico no modelo criptográfico de autenticação do kernel Linux que permite que um invasor acione de forma confiável o escalonamento de privilégios de forma trivial por meio de uma exploração baseada em Python de 732 bytes. Ele foi introduzido por meio de três alterações separadas e individualmente inofensivas no kernel do Linux feitas em 2011, 2015 e 2017.
A vulnerabilidade de segurança de alta gravidade afeta as distribuições Linux distribuÃdas desde 2017 e permite que um usuário local sem privilégios obtenha acesso de nÃvel raiz corrompendo o cache de página na memória do kernel de qualquer arquivo legÃvel, incluindo binários setuid. Essa corrupção pode ser realizada por usuários sem privilégios e resultar na execução de código com permissões de root.
“Como o cache da página representa a versão na memória dos executáveis, modificá-lo altera efetivamente os binários no tempo de execução, sem tocar no disco”, disse Wiz, de propriedade do Google. "Isso permite que invasores injetem código em binários privilegiados (por exemplo, /usr/bin/su) e, assim, obtenham privilégios de root."
A prevalência do Linux em ambientes de nuvem significa que a vulnerabilidade tem um impacto significativo. A Kaspersky, em sua análise da falha, disse que Copy Fail representa um sério risco para ambientes em contêineres, já que Docker, LXC e Kubernetes “concedem aos processos dentro de um contêiner acesso ao subsistema AF_ALG se o módulo algif_aead for carregado no kernel host” por padrão.
“O Copy Fail representa um risco de violação do isolamento do contêiner e de ganho de controle sobre a máquina fÃsica”, disse o fornecedor de segurança russo. “Ao mesmo tempo, a exploração não requer o uso de técnicas complexas, como condições de corrida ou adivinhação de endereços de memória, o que reduz a barreira de entrada para um invasor em potencial”.
“Detectar o ataque é difÃcil porque a exploração usa apenas chamadas de sistema legÃtimas, que são difÃceis de distinguir do comportamento normal do aplicativo”.
Aumentando a urgência está a disponibilidade de uma prova de conceito (PoC) de exploração totalmente funcional, com a Kaspersky afirmando que as versões Go e Rust da implementação original do Python já foram detectadas em repositórios de código aberto.
A CISA não compartilhou nenhum detalhe sobre como a vulnerabilidade está sendo explorada em estado selvagem. No entanto, a equipe de pesquisa de segurança do Microsoft Defender disse que está “vendo atividades de testes preliminares que podem resultar muito provavelmente no aumento da exploração dos agentes de ameaças nos próximos dias”.
“O vetor de ataque é local (AV:L) e requer privilégios baixos sem interação do usuário, o que significa que qualquer usuário sem privilégios em um sistema vulnerável pode tentar a exploração”, acrescentou. “Criticamente, esta vulnerabilidade não pode ser explorada remotamente de forma isolada, mas torna-se altamente impactante quando encadeada com um vetor de acesso inicial, como acesso Secure Shell (SSH), execução maliciosa de trabalhos de CI ou pontos de apoio de contêineres.”
A gigante da tecnologia também detalhou uma possÃvel rota que os invasores poderiam seguir para explorar a vulnerabilidade -
Realize o reconhecimento para identificar um host ou contêiner Linux executando uma versão do kernel suscetÃvel a falha de cópia.
Prepare um pequeno gatilho Python para uso no endpoint.
Execute a exploração a partir de um contexto de baixo privilégio, seja como um usuário regular do Linux em um host ou como um processo de contêiner comprometido sem recursos especiais.
O Exploit executa uma substituição controlada de 4 bytes no cache da página do kernel, causando corrupção de dados confidenciais gerenciados pelo kernel.
O invasor escala seu processo para UID 0 e obtém privilégios de root completos.
As agências do Poder Executivo Civil Federal (FCEB) foram aconselhadas a aplicar as correções até 15 de maio de 2026, uma vez que as atualizações foram promovidas por distribuições Linux afetadas. Se a aplicação de patches não for uma opção imediata, recomenda-se que as organizações desabilitem o recurso afetado, implementem o isolamento da rede e apliquem controles de acesso.
A vulnerabilidade, rastreada como CVE-2026-31431 (pontuação CVSS: 7,8), é um caso de falha de escalonamento de privilégios locais (LPE) que pode permitir que um usuário local sem privilégios obtenha root. A falha de nove anos também é rastreada como Copy Fail por Theori e Xint. Correções foram disponibilizadas nas versões 6.18.22, 6.19.12 e 7.0 do kernel Linux.
“O kernel do Linux contém uma vulnerabilidade incorreta de transferência de recursos entre esferas que pode permitir escalonamento de privilégios”, disse a CISA em um comunicado.
Em um artigo publicado no inÃcio desta semana, os pesquisadores disseram que Copy Fail é o resultado de um bug lógico no modelo criptográfico de autenticação do kernel Linux que permite que um invasor acione de forma confiável o escalonamento de privilégios de forma trivial por meio de uma exploração baseada em Python de 732 bytes. Ele foi introduzido por meio de três alterações separadas e individualmente inofensivas no kernel do Linux feitas em 2011, 2015 e 2017.
A vulnerabilidade de segurança de alta gravidade afeta as distribuições Linux distribuÃdas desde 2017 e permite que um usuário local sem privilégios obtenha acesso de nÃvel raiz corrompendo o cache de página na memória do kernel de qualquer arquivo legÃvel, incluindo binários setuid. Essa corrupção pode ser realizada por usuários sem privilégios e resultar na execução de código com permissões de root.
“Como o cache da página representa a versão na memória dos executáveis, modificá-lo altera efetivamente os binários no tempo de execução, sem tocar no disco”, disse Wiz, de propriedade do Google. "Isso permite que invasores injetem código em binários privilegiados (por exemplo, /usr/bin/su) e, assim, obtenham privilégios de root."
A prevalência do Linux em ambientes de nuvem significa que a vulnerabilidade tem um impacto significativo. A Kaspersky, em sua análise da falha, disse que Copy Fail representa um sério risco para ambientes em contêineres, já que Docker, LXC e Kubernetes “concedem aos processos dentro de um contêiner acesso ao subsistema AF_ALG se o módulo algif_aead for carregado no kernel host” por padrão.
“O Copy Fail representa um risco de violação do isolamento do contêiner e de ganho de controle sobre a máquina fÃsica”, disse o fornecedor de segurança russo. “Ao mesmo tempo, a exploração não requer o uso de técnicas complexas, como condições de corrida ou adivinhação de endereços de memória, o que reduz a barreira de entrada para um invasor em potencial”.
“Detectar o ataque é difÃcil porque a exploração usa apenas chamadas de sistema legÃtimas, que são difÃceis de distinguir do comportamento normal do aplicativo”.
Aumentando a urgência está a disponibilidade de uma prova de conceito (PoC) de exploração totalmente funcional, com a Kaspersky afirmando que as versões Go e Rust da implementação original do Python já foram detectadas em repositórios de código aberto.
A CISA não compartilhou nenhum detalhe sobre como a vulnerabilidade está sendo explorada em estado selvagem. No entanto, a equipe de pesquisa de segurança do Microsoft Defender disse que está “vendo atividades de testes preliminares que podem resultar muito provavelmente no aumento da exploração dos agentes de ameaças nos próximos dias”.
“O vetor de ataque é local (AV:L) e requer privilégios baixos sem interação do usuário, o que significa que qualquer usuário sem privilégios em um sistema vulnerável pode tentar a exploração”, acrescentou. “Criticamente, esta vulnerabilidade não pode ser explorada remotamente de forma isolada, mas torna-se altamente impactante quando encadeada com um vetor de acesso inicial, como acesso Secure Shell (SSH), execução maliciosa de trabalhos de CI ou pontos de apoio de contêineres.”
A gigante da tecnologia também detalhou uma possÃvel rota que os invasores poderiam seguir para explorar a vulnerabilidade -
Realize o reconhecimento para identificar um host ou contêiner Linux executando uma versão do kernel suscetÃvel a falha de cópia.
Prepare um pequeno gatilho Python para uso no endpoint.
Execute a exploração a partir de um contexto de baixo privilégio, seja como um usuário regular do Linux em um host ou como um processo de contêiner comprometido sem recursos especiais.
O Exploit executa uma substituição controlada de 4 bytes no cache da página do kernel, causando corrupção de dados confidenciais gerenciados pelo kernel.
O invasor escala seu processo para UID 0 e obtém privilégios de root completos.
As agências do Poder Executivo Civil Federal (FCEB) foram aconselhadas a aplicar as correções até 15 de maio de 2026, uma vez que as atualizações foram promovidas por distribuições Linux afetadas. Se a aplicação de patches não for uma opção imediata, recomenda-se que as organizações desabilitem o recurso afetado, implementem o isolamento da rede e apliquem controles de acesso.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #cisa #adiciona #bug #de #acesso #root #do #linux #explorado #ativamente #cve202631431 #ao #kev
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário