Alerta de Vulnerabilidade - Kernel Linux / Copy Fail

Vulnerabilidade de elevação de privilégios local (LPE) CVE-2026-31431, conhecida como “Copy Fail”, no módulo algif_aead do kernel Linux, divulgada publicamente a 29 de abril de 2026 [1]. A vulnerabilidade afeta praticamente todas as distribuições Linux mainstream com kernels compilados desde 2017 e foi adicionada ao catálogo Known Exploited Vulnerabilities (KEV) da CISA [2].

A vulnerabilidade é explorável de forma determinística (sem race condition nem dependência de offsets do kernel) e foi demonstrada num PoC público de 732 bytes em Python que funciona sem alterações em todas as distribuições verificadas [1].

Todas as distribuições Linux mainstream que distribuam kernels compilados entre 2017 e a disponibilização do patch upstream. Distribuições verificadas por investigadores [1]:

• Ubuntu 24.04 LTS (kernel 6.17.0-1007-aws)
• Amazon Linux 2023 (kernel 6.18.8-9.213.amzn2023)
• RHEL 10.1 (kernel 6.12.0-124.45.1.el10_1)
• SUSE Linux Enterprise 16 (kernel 6.12.0-160000.9-default)

Outras distribuições afetadas implicitamente: Debian, Fedora, Arch Linux, Rocky Linux, AlmaLinux, Oracle Linux, e distribuições embedded baseadas em kernels na janela 2017–patch. Ubuntu 26.04 (Resolute) e kernels mais recentes não são afetados [5].

Quando explorada com sucesso, a vulnerabilidade permite a um utilizador local não privilegiado escalar privilégios para root. O impacto agrava-se em sistemas que executem código de terceiros (contentores, agentes de CI/CD, plataformas SaaS partilhadas):

• Clusters Kubernetes: a page cache é partilhada entre host e pods, pelo que uma escrita executada dentro de um contentor afeta o kernel do nó, permitindo container escape e comprometimento cross-tenant.
• Runners CI/CD (GitHub Actions self-hosted, GitLab Runners, Jenkins agents): código de PRs não confiáveis pode obter root no runner.
• Hosts multi-utilizador (jump hosts, build servers, shell-as-a-service).
• Plataformas SaaS que executam código de tenants (notebooks, sandboxes, funções serverless).

A vulnerabilidade não é remotamente explorável, no entanto constitui um passo natural de pós-exploração quando encadeada com qualquer vetor de execução de código local (RCE web, credenciais comprometidas, código malicioso em pipelines).

Recomenda-se aplicar a atualização do kernel disponibilizada pelo distribuidor logo que disponível.

Caso não seja possível atualizar imediatamente, recomenda-se aplicar a mitigação temporária, desativando o módulo algif_aead [3][4]:

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif_aead.conf
rmmod algif_aead 2>/dev/null || true

Em contentores e fluxos de CI/CD que executem cargas de trabalho não confiáveis, recomenda-se adicionalmente bloquear a criação de sockets AF_ALG via política seccomp, independentemente do estado de atualização [4].