🌟 Atualização imperdível para quem gosta de estar bem informado!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma falha no subsistema de controle de tráfego do kernel Linux pode permitir que um usuário local sem privilégios ganhe root nos sistemas afetados.
CVE-2026-46331, apelidado de “pedit COW”, é uma gravação fora dos limites na ação de edição de pacotes (act_pedit) que corrompe a memória compartilhada do cache de página. Uma exploração pública e funcional apareceu um dia após a atribuição do CVE, em 16 de junho. A Red Hat classifica a falha como importante.
A exploração nunca toca no arquivo no disco. Ele envenena a cópia em cache de um binário raiz setuid (/bin/su) na memória, injeta uma pequena carga útil e executa essa imagem alterada como root. As verificações de integridade do arquivo voltam limpas enquanto um shell raiz já está aberto.
A exploração precisa de duas coisas: act_pedit ser carregável e namespaces de usuários sem privilégios abertos, dando ao invasor um recurso de rede local de namespace (CAP_NET_ADMIN) necessário para acionar o bug.
Nos alvos RHEL e Debian testados, ambas as condições estavam presentes.
Como funciona o bug
A ferramenta de controle de tráfego tc do Linux pode reescrever cabeçalhos de pacotes em trânsito usando uma ação chamada pedit. A função do kernel que faz isso, tcf_pedit_act(), deve fazer uma cópia privada dos dados antes de editá-los, o padrão copy-on-write padrão.
Ele verificou o intervalo gravável uma vez, antes que as compensações finais fossem conhecidas. Algumas chaves de edição só resolvem seu deslocamento em tempo de execução. Quando isso acontece, a gravação vai para fora da região copiada privadamente, então o kernel modifica uma página de cache de página compartilhada em vez de uma cópia privada. Se essa página pertencer a um arquivo em cache, a imagem na memória do arquivo estará corrompida.
O padrão é familiar. Dirty Pipe, Copy Fail, DirtyClone e Dirty Frag compartilham a mesma forma: um caminho rápido do kernel grava em uma página que não é de sua propriedade exclusiva, e o cache da página recebe o impacto.
A novidade aqui é o ponto de entrada. Um usuário sem privilégios pode configurar ações tc de dentro de um namespace de usuário, o que fornece o CAP_NET_ADMIN que a exploração precisa.
Sistemas afetados
O autor do PoC relatou exploração sem privilégios para root no RHEL 10 e Debian 13 (trixie), onde namespaces de usuários sem privilégios são abertos por padrão. O Ubuntu 24.04 exigia execução de roteamento por meio de perfis AppArmor que ainda permitem namespaces de usuário. O Ubuntu 26.04 bloqueia esse caminho por padrão porque seus perfis AppArmor restringem namespaces de usuários sem privilégios, embora o kernel subjacente permaneça vulnerável.
As correções são divididas por fornecedor.
O Debian corrigiu o trixie por meio de seu canal de segurança. O Debian 11 e 12 ainda estão listados como vulneráveis.
O Ubuntu lista as versões compatíveis de 18.04 a 26.04 como vulneráveis em 25 de junho.
A Red Hat lista RHEL 8, 9 e 10 como afetados; RHEL 7 não está listado no boletim.
O que fazer
Instale o kernel corrigido e reinicie. Priorize sistemas onde "usuário local" não significa usuário confiável: hosts multilocatários, executores de CI/CD, nós Kubernetes, trabalhadores de construção e máquinas compartilhadas de pesquisa ou laboratório.
Se você ainda não conseguir corrigir, duas mitigações eliminam a cadeia de exploração. Em sistemas que não precisam de regras tc pedit, verifique se o módulo está em uso (lsmod | grep act_pedit) e bloqueie seu carregamento:
echo 'instalar act_pedit /bin/true' | sudo tee /etc/modprobe.d/disable-act_pedit.conf
Como alternativa, desative namespaces de usuários sem privilégios (user.max_user_namespaces=0 no RHEL, kernel.unprivileged_userns_clone=0 no Debian/Ubuntu). Isso remove a capacidade local do namespace que a exploração precisa, mas quebra contêineres sem raiz, alguns sandboxes de CI e navegadores em sandbox. Teste primeiro.
Como a substituição tem como alvo a memória em cache, as verificações de integridade do arquivo podem não detectá-la. Descartar o cache da página (echo 3 > /proc/sys/vm/drop_caches) limpa a cópia envenenada na memória, mas não faz nada sobre o shell raiz que o invasor já abriu. Trate o host como comprometido.
A correção chegou à lista de discussão netdev no final de maio, enquadrada como um patch de rotina contra corrupção de dados. O detalhe explorável ficou em uma lista de discussão pública por semanas. Sem CVE, sem aviso de segurança. O CVE foi atribuído quando a correção foi incorporada em 16 de junho. A prova de conceito armada ocorreu em um dia. Para bugs de corrupção do cache de páginas do kernel, aguardar uma regra de scanner é muito lento.
CVE-2026-46331, apelidado de “pedit COW”, é uma gravação fora dos limites na ação de edição de pacotes (act_pedit) que corrompe a memória compartilhada do cache de página. Uma exploração pública e funcional apareceu um dia após a atribuição do CVE, em 16 de junho. A Red Hat classifica a falha como importante.
A exploração nunca toca no arquivo no disco. Ele envenena a cópia em cache de um binário raiz setuid (/bin/su) na memória, injeta uma pequena carga útil e executa essa imagem alterada como root. As verificações de integridade do arquivo voltam limpas enquanto um shell raiz já está aberto.
A exploração precisa de duas coisas: act_pedit ser carregável e namespaces de usuários sem privilégios abertos, dando ao invasor um recurso de rede local de namespace (CAP_NET_ADMIN) necessário para acionar o bug.
Nos alvos RHEL e Debian testados, ambas as condições estavam presentes.
Como funciona o bug
A ferramenta de controle de tráfego tc do Linux pode reescrever cabeçalhos de pacotes em trânsito usando uma ação chamada pedit. A função do kernel que faz isso, tcf_pedit_act(), deve fazer uma cópia privada dos dados antes de editá-los, o padrão copy-on-write padrão.
Ele verificou o intervalo gravável uma vez, antes que as compensações finais fossem conhecidas. Algumas chaves de edição só resolvem seu deslocamento em tempo de execução. Quando isso acontece, a gravação vai para fora da região copiada privadamente, então o kernel modifica uma página de cache de página compartilhada em vez de uma cópia privada. Se essa página pertencer a um arquivo em cache, a imagem na memória do arquivo estará corrompida.
O padrão é familiar. Dirty Pipe, Copy Fail, DirtyClone e Dirty Frag compartilham a mesma forma: um caminho rápido do kernel grava em uma página que não é de sua propriedade exclusiva, e o cache da página recebe o impacto.
A novidade aqui é o ponto de entrada. Um usuário sem privilégios pode configurar ações tc de dentro de um namespace de usuário, o que fornece o CAP_NET_ADMIN que a exploração precisa.
Sistemas afetados
O autor do PoC relatou exploração sem privilégios para root no RHEL 10 e Debian 13 (trixie), onde namespaces de usuários sem privilégios são abertos por padrão. O Ubuntu 24.04 exigia execução de roteamento por meio de perfis AppArmor que ainda permitem namespaces de usuário. O Ubuntu 26.04 bloqueia esse caminho por padrão porque seus perfis AppArmor restringem namespaces de usuários sem privilégios, embora o kernel subjacente permaneça vulnerável.
As correções são divididas por fornecedor.
O Debian corrigiu o trixie por meio de seu canal de segurança. O Debian 11 e 12 ainda estão listados como vulneráveis.
O Ubuntu lista as versões compatíveis de 18.04 a 26.04 como vulneráveis em 25 de junho.
A Red Hat lista RHEL 8, 9 e 10 como afetados; RHEL 7 não está listado no boletim.
O que fazer
Instale o kernel corrigido e reinicie. Priorize sistemas onde "usuário local" não significa usuário confiável: hosts multilocatários, executores de CI/CD, nós Kubernetes, trabalhadores de construção e máquinas compartilhadas de pesquisa ou laboratório.
Se você ainda não conseguir corrigir, duas mitigações eliminam a cadeia de exploração. Em sistemas que não precisam de regras tc pedit, verifique se o módulo está em uso (lsmod | grep act_pedit) e bloqueie seu carregamento:
echo 'instalar act_pedit /bin/true' | sudo tee /etc/modprobe.d/disable-act_pedit.conf
Como alternativa, desative namespaces de usuários sem privilégios (user.max_user_namespaces=0 no RHEL, kernel.unprivileged_userns_clone=0 no Debian/Ubuntu). Isso remove a capacidade local do namespace que a exploração precisa, mas quebra contêineres sem raiz, alguns sandboxes de CI e navegadores em sandbox. Teste primeiro.
Como a substituição tem como alvo a memória em cache, as verificações de integridade do arquivo podem não detectá-la. Descartar o cache da página (echo 3 > /proc/sys/vm/drop_caches) limpa a cópia envenenada na memória, mas não faz nada sobre o shell raiz que o invasor já abriu. Trate o host como comprometido.
A correção chegou à lista de discussão netdev no final de maio, enquadrada como um patch de rotina contra corrupção de dados. O detalhe explorável ficou em uma lista de discussão pública por semanas. Sem CVE, sem aviso de segurança. O CVE foi atribuído quando a correção foi incorporada em 16 de junho. A prova de conceito armada ocorreu em um dia. Para bugs de corrupção do cache de páginas do kernel, aguardar uma regra de scanner é muito lento.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #nova #exploração #cow #pedit #do #linux #permite #acesso #root #envenenando #binários #em #cache
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário