A Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. EUA. ( CISA) incluiu em seu catálogo Known Exploited Vulnerabilities (KEV) uma vulnerabilidade crítica recentemente divulgada no núcleo Linux, registrada como CVE‐2026‐31431(CVSS 7.8), após investigadores e empresas de segurança apresentarem provas de exploração ativa. Trata-se de uma falha de elevação de privilégios locais (LPE) apodado "Copy Fail", que permite a um usuário sem privilégios conseguir acesso root manipulando a cache de páginas em memória do kernel; os adesivos que corrigem o problema já foram integrados nos ramos do kernel assinalados pelos mantenedores, incluindo as versões 6.18.22, 6.19.12 e 7.0.
Em termos técnicos, o erro é uma corrupção controlada do page cache, que afeta a forma como o kernel copia recursos entre “esferas” internas do subsistema criptográfico (AF_ALG). Ao corromper os 'bytes' concretos na 'cache' de um executável em memória - sem tocar no disco - um atacante pode injetar instruções em binários privilegiados setuid (por exemplo /usr/bin/su) e obter execução com UID 0. Os autores do relatório explicam que o bug surge de três mudanças aparentemente inocuos introduzidas em 2011, 2015 e 2017, pelo que a falha está presente em kernels distribuídos desde então e é explorável de forma confiável com um PoC muito compacto em Python (além de implementações detectadas em Go e Rust).
A disponibilidade pública de um PoC e a natureza local do vetor fazem com que o risco seja particularmente alto em ambientes onde se pode encadear um acesso inicial: uma conta SSH comprometida, um job de CI malicioso, ou uma fuga dentro de um recipiente podem servir como ponto de partida. Empresas de segurança alertam que a detecção é complexa porque a exploração usa chamadas de sistema legítimas, o que dificulta distinguir atividade maliciosa de comportamento normal. O cenário mais perigoso é o de ambientes em nuvem e contêineres, onde Docker, LXC ou Kubernetes podem expor o subsistema AF_ALG no host se o módulo algif_aead estiver carregado, o que reduz barreiras e permite quebrar o isolamento de contêineres para comprometer o host físico.
Diante desse cenário real, a prioridade número um para administradores e responsáveis pela segurança deve ser sistema transdérmico o mais rapidamente. A CISA marcou esta vulnerabilidade como explorada e recomendou a aplicação das actualizações dos fornecedores; além disso, as agências federais dos EUA receberam uma data-limite interna (May 15, 2026) para mitigar o risco. Você pode consultar a inclusão no catálogo KEV e os avisos oficiais na página da CISA: https://www.cisa.gov/known-exploited-vulnerabilities-catalog, e rever a entrada registada no MITRE para mais contexto técnico: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-31431.
Se não for possível atualizar imediatamente, existem medidas compensatórias que reduzem a superfície de exposição: evitar que o host carregue o módulo algif_aead (por exemplo, baixar ou bloquear a sua carga com políticas de módulos), isolar sistemas com controle de acesso à rede e segmentação para minimizar portas de entrada exploráveis, revisar permissões e acesso SSH, e endurecer configurações de contêineres (evitar privilégios elevados, usar perfis seccomp/SELinux/AppArmor e negar acesso direto a subsistemas kernel não necessários). Note que as soluções de integridade de arquivos tradicionais podem não detectar essa técnica porque o executável nunca é modificado em disco; por isso, prevenção e adesivo São mais fiáveis do que a detecção posterior.
Também é conveniente reforçar a telemetria e a resposta: ativar e rever logs de auditoria, monitorizar processos que mudam para UID 0, desenvolver capacidades EDR/NGAV que correlacionem anomalias locais e preparar playbooks de contenção para incidentes que impliquem escalada de privilégios em hosts ou nodos de orquestração. Os equipamentos que gerem imagens de contêineres devem regenerar e usar imagens sobre núcleos adesivos e rever pipelines de CI para evitar execuções não confiáveis que possam atuar como ponto inicial de exploração.
O alcance desta vulnerabilidade, sua simplicidade de exploração com um PoC disponível e seu impacto potencial em ambientes multiutilizados e cloud fazem que não seja uma ameaça teórica: Se a sua infra-estrutura usar o Linux (especialmente em contentores ou sistemas partilhados), deve agir já. Para verificar se a sua organização dispõe de adesivos ou mitigações aplicadas, consulte as políticas e newsletters do seu distribuidor e verifique a versão do kernel nos hosts afetados; a página oficial do kernel e os repositórios da sua distribuição são pontos de partida práticos: https://www.kernel.org.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...