Nova vulnerabilidade COW no Linux permite acesso root ao sistema

Nova vulnerabilidade COW no Linux permite que atacantes obtenham acesso root ao sistema.

Uma vulnerabilidade recentemente divulgada no kernel do Linux, que combina uma falha de corrupção do cache de páginas Copy-on-Write (COW) com um componente net/scheddo subsistema act_pedit, está permitindo que atacantes locais sem privilégios elevados obtenham acesso root completo em diversas distribuições Linux importantes.

A vulnerabilidade, denominada packet_edit_meme , foi verificada em junho de 2026 em kernels corporativos e de consumo com manutenção ativa.

A causa raiz é um bug de corrupção parcial do cache de páginas COW introduzido no commit do kernel 899ee91156e5, presente nas versões do kernel Linux v5.18 até v7.1-rc6 e corrigido na v7.1-rc7. A falha reside no net/sched act_peditsubsistema, um componente de edição de tráfego da estrutura de controle de tráfego (tc) do Linux.

A cadeia de ataque funciona criando um processo filho no namespace do usuário com CAP_NET_ADMINcapacidades — uma permissão acessível a usuários sem privilégios em sistemas onde namespaces de usuário sem privilégios estão habilitados por padrão.

O exploit então aproveita a primitiva de corrupção COW para sobrescrever o ponto de entrada ELF em cache da página do binário setuid-root /bin/su, injetando shellcode que executa setgid(0)setuid(0)execve("/bin/sh")— fornecendo um shell root ao atacante.

Esta é a quarta vulnerabilidade de escalonamento de privilégios recentemente divulgada em sistemas Linux.

VulnerabilidadeCVEDivulgadoSubsistemaEscreva em estilo primitivoÉ necessário acesso root?
Falha na cópiaCVE-2026-3143130 de abril de 2026algif_aead(Criptografia AF_ALG)gravação de cache de página de 4 bytesNão
Fragmento sujoCVE-2026-43284 / CVE-2026-435008 de maio de 2026IPsec ESP (xfrm) + RxRPCPrimitiva de escrita completa (encadeada)Não
FragnesiaCVE-2026-4630014 de maio de 2026XFRM ESP-em-TCPEscrita de byte arbitrárioNão
vaca peditCVE-2026-4633126 de junho de 2026net/sched act_peditGravação em cache de página fora dos limitesNão

Distribuições afetadas

Testes verificados confirmam o sucesso da exploração em diversas distribuições amplamente utilizadas:

DistribuiçãoKernelBandeiraResultado
RHEL 10.06.12.0-228.el10NenhumRAIZ
Debian 13 (Trixie)6.12.90+deb13.1NenhumRAIZ
Ubuntu 24.04.46.17.0-22--ubuntuRAIZ
Ubuntu 26.047.0.0-14-genérico--ubuntuFALHAR

RHEL e Debian são imediatamente vulneráveis ​​sem a necessidade de flags, pois ambos são distribuídos com namespaces de usuário sem privilégios abertos por padrão. Notavelmente, o RHEL não possui os módulos `sudo` cls_basice ` em_metasudo`, mas o exploit automaticamente recorre a eles matchallpara executar a mesma primitiva de corrupção.

O Ubuntu impõe dois sysctls que restringem a criação de namespaces de usuários sem privilégios:

  • kernel.apparmor_restrict_unprivileged_userns— bloqueia a criação de usuários sem restrições
  • kernel.apparmor_restrict_unprivileged_unconfined— impede que aa-execperfis permissivos se livrem da restrição

--ubuntuflag reexecuta o exploit aa-execusando perfis permissivos como trinitychrome, ou flatpak— que contêm uma usernsregra — efetivamente contornando o bloqueio do AppArmor.

Este bypass funciona no Ubuntu 24.04.4 ( unconfined=0) mas está fechado no Ubuntu 26.04 ( unconfined=1), que torna a restrição mais rigorosa para bloquear completamente este caminho de reexecução.

Mitigações

A Red Hat publicou um boletim de segurança oficial, RHSB-2026-008 . Recomenda-se fortemente que os administradores apliquem imediatamente as correções do kernel, restrinjam a criação de namespaces de usuários sem privilégios via sysctl sempre que operacionalmente viável e monitorem aa-execinvocações inesperadas ou eventos de criação de namespaces.

Organizações que utilizam kernels entre a versão 5.18 e a 7.1-rc6 devem tratar esta atualização como de prioridade crítica.

Fonte: CyberSecurityNews

Clique e fale com representante oficial Netwrix Endpoint Protector

Veja também:

About mindsecblog 3646 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Be the first to comment

Leave a Reply

Your email address will not be published.


*