Alerta da Mist: vulnerabilidade de falha de cópia no Linux é extremamente explorável, recomenda-se atualizar o kernel o quanto antes

O Chief Information Security Officer da SlowMist (23pds) publicou em 30 de abril no X que foi encontrado um vulnerabilidade lógica denominada “Copy Fail” (CVE-2026-31431) em sistemas Linux, com alto potencial de exploração. A SlowMist recomenda que os usuários atualizem rapidamente o kernel.

Informações básicas da vulnerabilidade e escopo afetado

De acordo com o relatório técnico publicado em 29 de abril pela equipe de pesquisa da Xint Code, o CVE-2026-31431 é uma vulnerabilidade lógica no template de criptografia e autenticação em modo AEAD do kernel do Linux, no arquivo algif_aead.c, que usa uma cadeia de chamadas envolvendo a função AF_ALG + splice(). Isso permite que usuários locais não privilegiados realizem escrita controlada determinística de 4 bytes na página do cache de arquivos arbitrários legíveis pelo sistema e, em seguida, obtenham privilégios de root ao comprometer binários setuid.

Segundo o relatório da Xint Code, foram feitos testes e versões e kernels afetados confirmados, incluindo:

Ubuntu 24.04 LTS：kernel 6.17.0-1007-aws

Amazon Linux 2023：kernel 6.18.8-9.213.amzn2023

RHEL 10.1：kernel 6.12.0-124.45.1.el10_1

SUSE 16：kernel 6.12.0-160000.9-default

Conforme o relatório da Xint Code, a causa raiz desta vulnerabilidade está na otimização in-place (in loco) de AEAD introduzida no algif_aead.c em 2017 (commit 72548b093ee3). Isso faz com que páginas do cache provenientes de splice() sejam colocadas em uma lista fragmentada gravável, o que, em conjunto com a operação temporária de escrita do wrapper de AEAD authenticsn, cria um caminho explorável.

Cronograma de divulgação coordenada e medidas de correção

De acordo com o cronograma divulgado em 29 de abril pela Xint Code, o CVE-2026-31431 foi reportado em 23 de março de 2026 ao time de segurança do kernel do Linux. O patch (a664bf3d603d) foi aprovado em 25 de março, enviado para o kernel principal em 1º de abril, o CVE foi atribuído oficialmente em 22 de abril e a divulgação pública ocorreu em 29 de abril.

De acordo com o relatório da Xint Code, as medidas de correção incluem: atualizar o pacote de software do kernel nas distribuições (as distribuições mais populares devem disponibilizar este patch via a atualização normal do kernel). Para mitigar imediatamente, é possível bloquear a criação de sockets AF_ALG via seccomp, ou executar o seguinte comando para colocar o módulo algif_aead na lista negra: echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf.

Conforme a Xint Code, esta vulnerabilidade também afeta cenários além do limite entre contêineres, pois o cache de páginas é compartilhado pelo host; os impactos relacionados à evasão de contêineres no Kubernetes serão divulgados na segunda parte.

Perguntas frequentes

Qual é o escopo de impacto do CVE-2026-31431?

De acordo com o relatório da Xint Code em 29 de abril e o alerta da SlowMist 23pds em 30 de abril, o CVE-2026-31431 afeta praticamente todas as principais distribuições Linux lançadas desde 2017, incluindo Ubuntu, Amazon Linux, RHEL e SUSE. Scripts Python de 732 bytes podem obter privilégios de root sem necessidade de permissões.

Qual é o método de mitigação temporária para esta vulnerabilidade?

De acordo com o relatório da Xint Code em 29 de abril, é possível bloquear a criação de sockets AF_ALG via seccomp, ou executar echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif-aead.conf para colocar o módulo algif_aead na lista negra e mitigar imediatamente.

Quando o patch do CVE-2026-31431 será disponibilizado?

De acordo com o cronograma divulgado em 29 de abril pela Xint Code, o patch (a664bf3d603d) foi enviado para o kernel principal do Linux em 1º de abril de 2026; as distribuições mais populares devem disponibilizar este patch via atualização normal de pacotes de kernel.