Nova vulnerabilidade COW no Linux permite que atacantes obtenham acesso root ao sistema.
Uma vulnerabilidade recentemente divulgada no kernel do Linux, que combina uma falha de corrupção do cache de páginas Copy-on-Write (COW) com um componente net/scheddo subsistema act_pedit, está permitindo que atacantes locais sem privilégios elevados obtenham acesso root completo em diversas distribuições Linux importantes.
A vulnerabilidade, denominada packet_edit_meme , foi verificada em junho de 2026 em kernels corporativos e de consumo com manutenção ativa.
A causa raiz é um bug de corrupção parcial do cache de páginas COW introduzido no commit do kernel 899ee91156e5, presente nas versões do kernel Linux v5.18 até v7.1-rc6 e corrigido na v7.1-rc7. A falha reside no net/sched act_peditsubsistema, um componente de edição de tráfego da estrutura de controle de tráfego (tc) do Linux.
A cadeia de ataque funciona criando um processo filho no namespace do usuário com CAP_NET_ADMINcapacidades — uma permissão acessível a usuários sem privilégios em sistemas onde namespaces de usuário sem privilégios estão habilitados por padrão.
O exploit então aproveita a primitiva de corrupção COW para sobrescrever o ponto de entrada ELF em cache da página do binário setuid-root /bin/su, injetando shellcode que executa setgid(0)+ setuid(0)+ execve("/bin/sh")— fornecendo um shell root ao atacante.
Esta é a quarta vulnerabilidade de escalonamento de privilégios recentemente divulgada em sistemas Linux.
| Vulnerabilidade | CVE | Divulgado | Subsistema | Escreva em estilo primitivo | É necessário acesso root? |
|---|---|---|---|---|---|
| Falha na cópia | CVE-2026-31431 | 30 de abril de 2026 | algif_aead(Criptografia AF_ALG) | gravação de cache de página de 4 bytes | Não |
| Fragmento sujo | CVE-2026-43284 / CVE-2026-43500 | 8 de maio de 2026 | IPsec ESP (xfrm) + RxRPC | Primitiva de escrita completa (encadeada) | Não |
| Fragnesia | CVE-2026-46300 | 14 de maio de 2026 | XFRM ESP-em-TCP | Escrita de byte arbitrário | Não |
| vaca pedit | CVE-2026-46331 | 26 de junho de 2026 | net/sched act_pedit | Gravação em cache de página fora dos limites | Não |
Distribuições afetadas
Testes verificados confirmam o sucesso da exploração em diversas distribuições amplamente utilizadas:
| Distribuição | Kernel | Bandeira | Resultado |
|---|---|---|---|
| RHEL 10.0 | 6.12.0-228.el10 | Nenhum | RAIZ |
| Debian 13 (Trixie) | 6.12.90+deb13.1 | Nenhum | RAIZ |
| Ubuntu 24.04.4 | 6.17.0-22 | --ubuntu | RAIZ |
| Ubuntu 26.04 | 7.0.0-14-genérico | --ubuntu | FALHAR |
RHEL e Debian são imediatamente vulneráveis sem a necessidade de flags, pois ambos são distribuídos com namespaces de usuário sem privilégios abertos por padrão. Notavelmente, o RHEL não possui os módulos `sudo` cls_basice ` em_metasudo`, mas o exploit automaticamente recorre a eles matchallpara executar a mesma primitiva de corrupção.
O Ubuntu impõe dois sysctls que restringem a criação de namespaces de usuários sem privilégios:
kernel.apparmor_restrict_unprivileged_userns— bloqueia a criação de usuários sem restriçõeskernel.apparmor_restrict_unprivileged_unconfined— impede queaa-execperfis permissivos se livrem da restrição
A --ubuntuflag reexecuta o exploit aa-execusando perfis permissivos como trinity, chrome, ou flatpak— que contêm uma usernsregra — efetivamente contornando o bloqueio do AppArmor.
Este bypass funciona no Ubuntu 24.04.4 ( unconfined=0) mas está fechado no Ubuntu 26.04 ( unconfined=1), que torna a restrição mais rigorosa para bloquear completamente este caminho de reexecução.
Mitigações
A Red Hat publicou um boletim de segurança oficial, RHSB-2026-008 . Recomenda-se fortemente que os administradores apliquem imediatamente as correções do kernel, restrinjam a criação de namespaces de usuários sem privilégios via sysctl sempre que operacionalmente viável e monitorem aa-execinvocações inesperadas ou eventos de criação de namespaces.
Organizações que utilizam kernels entre a versão 5.18 e a 7.1-rc6 devem tratar esta atualização como de prioridade crítica.
Fonte: CyberSecurityNews
Clique e fale com representante oficial Netwrix Endpoint Protector
Veja também:
- Ataques com ransomwares fizeram 791 vítimas em maio
- O Fantasma na Máquina: o desafio das alucinações de IA na segurança corporativa
- Sem usar vírus, golpe que engana funcionários se multiplica por 37
- Estratégia de cibersegurança vira pilar de sobrevivência para empresas
- IA leva à descoberta de nova técnica de ransomware
- Judiciário brasileiro combate ataques com tecnologia de alta performance
- Altos riscos da segurança em data centers
- IA, ameaças nacionais e cenário global redefinem estratégias de defesa
- Ataques cibernéticos ampliam preocupação do mercado de resseguros
- Governo preparar assinatura digital para a era quântica
- 65% das empresas brasileiras já utilizam agentes de IA
- 57% relatam melhora no compartilhamento de informações entre TI e Segurança

Be the first to comment