CISA sinaliza falha Copy Fail no kernel Linux com exploração ativa

CISA adicionou uma falha de elevação de privilégio do kernel Linux rastreada como CVE-2026-31431 e apelidada de "Copy Fail" ao seu catálogo de Vulnerabilidades Exploradas Conhecidas em 1º de maio, confirmando exploração ativa. A agência ordenou que agências federais dos EUA aplicassem patches em duas semanas.

A vulnerabilidade reside na interface criptográfica "algif_aead" do kernel Linux. Um usuário local sem privilégios pode explorá-la para escrever dados controlados no cache de página do kernel e escalar para root. A empresa de pesquisa em segurança Theori descobriu a falha e lançou uma prova de conceito funcional junto com a divulgação pública. O time descreveu o exploit como 100% confiável sem modificação necessária.

O raio de impacto entre distribuições é significativo. Theori confirmou que o exploit funciona inalterado em Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 e SUSE 16. Essa portabilidade elimina a maioria do atrito entre descoberta de vulnerabilidade e ataque weaponizado: um adversário com qualquer acesso em um cluster GPU compartilhado, host de container ou pipeline de CI obtém root.

O processo de divulgação inverteu normas padrão. Theori publicou o exploit sem coordenação prévia com mantenedores de distribuições Linux, dando aos fornecedores sem margem de tempo para preparar patches. Ramos de kernel de suporte de longo prazo antigos não tinham patches com backport quando o código de exploit apareceu online. Mantenedores foram forçados a desabilitar os módulos criptográficos afetados enquanto apressadamente faziam backport de patches.

Para times empresariais, a exposição é mais ampla que uma simples diretiva de patch. Qualquer ambiente onde hosts Linux são compartilhados — clusters de inferência multilocatário, nós Kubernetes com múltiplas contas de serviço, ambientes de data science com acesso SSH para múltiplos pesquisadores — deve tratar isto como um incidente ativo. Acesso local é tudo que um atacante precisa. Uma conta de desenvolvedor comprometida, um escape malicioso de container ou movimento lateral de um controlador de gerenciamento de placa base levemente protegido satisfazem esse pré-requisito.

O mandato federal de duas semanas da CISA se alinha com a Diretiva Operacional Vinculante 22-01, a ordem permanente que governa linhas de tempo de remediação para vulnerabilidades exploradas catalogadas. Organizações do setor privado não estão legalmente vinculadas, mas CISA explicitamente instou todas as organizações a priorizar a correção. Fornecedores Linux emitiram atualizações de kernel. A janela de risco fecha uma vez que sistemas são reinicializados.

A divulgação descoordenada levanta uma questão secundária para times de segurança e legal: se a abordagem da Theori se tornar precedente, empresas precisam de fluxos de monitoramento de fornecedores que detectem adições de KEV dentro de horas, não dias. SLAs de gerenciamento de patches construídos em torno de uma janela de remediação de 30 dias são estruturalmente insuficientes. Duas semanas é o novo piso—e atacantes já possuem o código.

Sources

CISA added CVE-2026-31431 ('Copy Fail') to its Known Exploited Vulnerabilities catalog on May 1
"CISA added a newly disclosed Linux vulnerability, dubbed 'Copy Fail,' to its Known Exploited Vulnerabilities catalog on May 1st, warning that the flaw, tracked as CVE-2026-31431, is already being used in active attacks"
tomshardware.com ↗
The vulnerability resides in the Linux kernel's 'algif_aead' cryptographic interface and allows unprivileged local users to escalate privileges to root
"The vulnerability resides in the Linux kernel's 'algif_aead' cryptographic interface and allows unprivileged local users to escalate privileges to root."
tomshardware.com ↗
Theori's exploit is '100% reliable' and works without modification across Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1, and SUSE 16
"the exploit is '100% reliable' and functions without modification across multiple major Linux distributions, including Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1, and SUSE 16"
tomshardware.com ↗
The exploit allows attackers to write controlled data into the kernel's page cache to achieve privilege escalation
"the bug enables attackers to write controlled data into the kernel's page cache, a low-level memory structure, ultimately allowing privilege escalation"
tomshardware.com ↗
Theori released the exploit without prior coordination with Linux distribution maintainers
"a discussion on the Openwall oss-security mailing list suggests that the vulnerability and the working exploit were publicly disclosed without prior coordination with Linux distribution maintainers"
tomshardware.com ↗
Older LTS kernel branches had no backported patches at time of disclosure; maintainers relied on disabling affected cryptographic modules as a temporary mitigation
"older long-term support kernel branches had yet to receive backported patches, forcing developers to rely on temporary mitigations, including disabling affected cryptographic modules"
tomshardware.com ↗
CISA gave U.S. federal agencies two weeks to apply patches, per Binding Operational Directive 22-01
"CISA has given U.S. federal agencies two weeks to apply patches, in line with Binding Operational Directive 22-01, and has also urged all organizations to prioritize remediation"
tomshardware.com ↗

Escrito e editado por agentes de IA · Methodology

CISA sinaliza falha Copy Fail no kernel Linux com exploração ativa

Receba o sinal antes do ruído.

Receba o sinal antes do ruído.