🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O código de exploração de prova de conceito (PoC) foi lançado para uma falha de segurança recentemente corrigida no kernel do Linux que poderia permitir o escalonamento de privilégios locais (LPE).
Chamada de DirtyDecrypt (também conhecida como DirtyCBC), a vulnerabilidade foi descoberta e relatada pela equipe de segurança Zellic e V12 em 9 de maio de 2026, apenas para ser informado pelos mantenedores de que era uma duplicata de uma vulnerabilidade que já havia sido corrigida na linha principal.
“É uma gravação de pagecache rxgk devido à falta do protetor COW [copy-on-write] em rxgk_decrypt_skb”, disse Luna Tong, cofundadora da Zellic (também conhecida como cts e gf_256), em uma descrição compartilhada no GitHub.
Embora o identificador CVE não tenha sido divulgado, a vulnerabilidade em questão é CVE-2026-31635 (pontuação CVSS: 7,5) com base no fato de que o NIST National Vulnerability Database (NVD) inclui um link para o DirtyDecrypt PoC em seu registro CVE.
“A falha específica está em rxgk_decrypt_skb(), a função que descriptografa um sk_buff (buffer de soquete) de entrada no lado de recepção”, disse Moselwal.
"Neste caminho de código, o kernel lida com páginas de memória que são parcialmente compartilhadas com o cache de páginas de outros processos - uma otimização normal do Linux protegida por cópia na gravação: assim que ocorre uma gravação em uma página compartilhada, uma cópia privada é feita antecipadamente para que a gravação não se espalhe nos dados de outro processo."
A ausência deste guarda COW em rxgk_decrypt_skb significa que os dados são gravados na memória de processos privilegiados ou, dependendo do caminho de exploração, no cache de páginas de arquivos privilegiados, como etc/shadow, /etc/sudoers ou um binário SUID, levando ao escalonamento de privilégios locais.
DirtyDecrypt afeta apenas distribuições com CONFIG_RXGK habilitado, como Fedora, Arch Linux e openSUSE Tumbleweed. Em ambientes conteinerizados, os nós de trabalho que executam uma versão vulnerável do Linux podem fornecer um caminho para escapar do pod.
A vulnerabilidade, de acordo com Zellic, é avaliada como uma variante de Copy Fail (CVE-2026-31431), Dirty Frag, também conhecido como Copy Fail 2 (CVE-2026-43284 e CVE-2026-43500) e Fragnesia (CVE-2026-46300), todos os quais concedem acesso root em sistemas vulneráveis.
Copy Fail, uma falha de escalonamento de privilégios local na interface do soquete criptográfico AF_ALG, foi divulgada por pesquisadores da Theori em 29 de abril de 2026. Foi seguida por Dirty Frag uma semana depois. Dirty Frag expande Copy Fail com duas primitivas de gravação de cache de página.
No entanto, o pesquisador de segurança Hyunwoo Kim foi forçado a prosseguir com a divulgação pública depois que a janela de embargo acordada terminou prematuramente, quando um patch mesclado para CVE-2026-43284 em 5 de maio levou outro pesquisador, que não tinha conhecimento do embargo, a analisar e publicar de forma independente detalhes do defeito.
"Eu li o commit, reconheci o caminho xfrm ESP-in-UDP MSG_SPLICE_PAGES no-COW em páginas de pipe compartilhadas como uma primitiva LPE e criei um PoC", observou o pesquisador, que usa os pseudônimos on-line 0xdeadbeefnetwork e afflicted.sh. "O trabalho consiste em armamentá-lo em n dias a partir de um commit público upstream, o que é uma prática padrão quando uma solução relevante para a segurança chega a uma árvore pública."
Fragnesia é outra variante do Dirty Frag e impacta o subsistema XFRM ESP-in-TCP. Mas o resultado é o mesmo: permite que invasores locais sem privilégios modifiquem o conteúdo do arquivo somente leitura no cache da página do kernel e obtenham privilégios de root.
O desenvolvimento se encaixa na descoberta de uma falha LPE no daemon Linux PackageKit (CVE-2026-41651 também conhecido como Pack2TheRoot, pontuação CVSS: 8,8) e uma falha inadequada de gerenciamento de privilégios no kernel (CVE-2026-46333 também conhecido como ssh-keysign-pwn, pontuação CVSS: 5,5), que permite que um usuário local sem privilégios leia segredos de propriedade do root, como SSH chaves privadas.
Várias distribuições Linux lançaram avisos para CVE-2026-46333 -
AlmaLinux
Amazon Linux
NuvemLinux
Fedora
Gentoo
Chapéu Vermelho
SUSE
Ubuntu
Interruptor de interrupção do kernel?
A enxurrada de novas divulgações em poucas semanas levou os desenvolvedores do kernel Linux a revisar uma proposta para um “killswitch” de emergência que permitiria aos administradores desabilitar funções vulneráveis do kernel em tempo de execução até que um patch para uma vulnerabilidade de dia zero estivesse disponível.
“O Killswitch permite que um operador privilegiado faça uma função do kernel escolhida retornar um valor fixo sem executar seu corpo, como uma mitigação temporária para um bug de segurança enquanto uma correção real está sendo preparada”, de acordo com uma proposta apresentada pelo desenvolvedor e mantenedor do kernel Linux Sasha Levin.
"A função retorna o valor fornecido pelo operador e nada mais é executado em seu lugar. Não há lista de permissões, nenhuma verificação de tipo de retorno; se a camada kprobe aceitar o símbolo, o killswitch o ativa. Uma vez ativado, a mudança entra em vigor em cada CPU até que ``disengage`` seja escrito ou o sistema seja reinicializado. "
Rocky Linux estreia repositório de segurança
Rocky Linux, por sua vez, introduziu um repositório de segurança opcional que permite a distribuição
Chamada de DirtyDecrypt (também conhecida como DirtyCBC), a vulnerabilidade foi descoberta e relatada pela equipe de segurança Zellic e V12 em 9 de maio de 2026, apenas para ser informado pelos mantenedores de que era uma duplicata de uma vulnerabilidade que já havia sido corrigida na linha principal.
“É uma gravação de pagecache rxgk devido à falta do protetor COW [copy-on-write] em rxgk_decrypt_skb”, disse Luna Tong, cofundadora da Zellic (também conhecida como cts e gf_256), em uma descrição compartilhada no GitHub.
Embora o identificador CVE não tenha sido divulgado, a vulnerabilidade em questão é CVE-2026-31635 (pontuação CVSS: 7,5) com base no fato de que o NIST National Vulnerability Database (NVD) inclui um link para o DirtyDecrypt PoC em seu registro CVE.
“A falha específica está em rxgk_decrypt_skb(), a função que descriptografa um sk_buff (buffer de soquete) de entrada no lado de recepção”, disse Moselwal.
"Neste caminho de código, o kernel lida com páginas de memória que são parcialmente compartilhadas com o cache de páginas de outros processos - uma otimização normal do Linux protegida por cópia na gravação: assim que ocorre uma gravação em uma página compartilhada, uma cópia privada é feita antecipadamente para que a gravação não se espalhe nos dados de outro processo."
A ausência deste guarda COW em rxgk_decrypt_skb significa que os dados são gravados na memória de processos privilegiados ou, dependendo do caminho de exploração, no cache de páginas de arquivos privilegiados, como etc/shadow, /etc/sudoers ou um binário SUID, levando ao escalonamento de privilégios locais.
DirtyDecrypt afeta apenas distribuições com CONFIG_RXGK habilitado, como Fedora, Arch Linux e openSUSE Tumbleweed. Em ambientes conteinerizados, os nós de trabalho que executam uma versão vulnerável do Linux podem fornecer um caminho para escapar do pod.
A vulnerabilidade, de acordo com Zellic, é avaliada como uma variante de Copy Fail (CVE-2026-31431), Dirty Frag, também conhecido como Copy Fail 2 (CVE-2026-43284 e CVE-2026-43500) e Fragnesia (CVE-2026-46300), todos os quais concedem acesso root em sistemas vulneráveis.
Copy Fail, uma falha de escalonamento de privilégios local na interface do soquete criptográfico AF_ALG, foi divulgada por pesquisadores da Theori em 29 de abril de 2026. Foi seguida por Dirty Frag uma semana depois. Dirty Frag expande Copy Fail com duas primitivas de gravação de cache de página.
No entanto, o pesquisador de segurança Hyunwoo Kim foi forçado a prosseguir com a divulgação pública depois que a janela de embargo acordada terminou prematuramente, quando um patch mesclado para CVE-2026-43284 em 5 de maio levou outro pesquisador, que não tinha conhecimento do embargo, a analisar e publicar de forma independente detalhes do defeito.
"Eu li o commit, reconheci o caminho xfrm ESP-in-UDP MSG_SPLICE_PAGES no-COW em páginas de pipe compartilhadas como uma primitiva LPE e criei um PoC", observou o pesquisador, que usa os pseudônimos on-line 0xdeadbeefnetwork e afflicted.sh. "O trabalho consiste em armamentá-lo em n dias a partir de um commit público upstream, o que é uma prática padrão quando uma solução relevante para a segurança chega a uma árvore pública."
Fragnesia é outra variante do Dirty Frag e impacta o subsistema XFRM ESP-in-TCP. Mas o resultado é o mesmo: permite que invasores locais sem privilégios modifiquem o conteúdo do arquivo somente leitura no cache da página do kernel e obtenham privilégios de root.
O desenvolvimento se encaixa na descoberta de uma falha LPE no daemon Linux PackageKit (CVE-2026-41651 também conhecido como Pack2TheRoot, pontuação CVSS: 8,8) e uma falha inadequada de gerenciamento de privilégios no kernel (CVE-2026-46333 também conhecido como ssh-keysign-pwn, pontuação CVSS: 5,5), que permite que um usuário local sem privilégios leia segredos de propriedade do root, como SSH chaves privadas.
Várias distribuições Linux lançaram avisos para CVE-2026-46333 -
AlmaLinux
Amazon Linux
NuvemLinux
Fedora
Gentoo
Chapéu Vermelho
SUSE
Ubuntu
Interruptor de interrupção do kernel?
A enxurrada de novas divulgações em poucas semanas levou os desenvolvedores do kernel Linux a revisar uma proposta para um “killswitch” de emergência que permitiria aos administradores desabilitar funções vulneráveis do kernel em tempo de execução até que um patch para uma vulnerabilidade de dia zero estivesse disponível.
“O Killswitch permite que um operador privilegiado faça uma função do kernel escolhida retornar um valor fixo sem executar seu corpo, como uma mitigação temporária para um bug de segurança enquanto uma correção real está sendo preparada”, de acordo com uma proposta apresentada pelo desenvolvedor e mantenedor do kernel Linux Sasha Levin.
"A função retorna o valor fornecido pelo operador e nada mais é executado em seu lugar. Não há lista de permissões, nenhuma verificação de tipo de retorno; se a camada kprobe aceitar o símbolo, o killswitch o ativa. Uma vez ativado, a mudança entra em vigor em cada CPU até que ``disengage`` seja escrito ou o sistema seja reinicializado. "
Rocky Linux estreia repositório de segurança
Rocky Linux, por sua vez, introduziu um repositório de segurança opcional que permite a distribuição
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #dirtydecrypt #poc #lançado #para #vulnerabilidade #lpe #do #kernel #linux #cve202631635
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário