LINUX

Um ponto de exclamação no kernel Linux chegou para dar root

Uma falha de segurança no Debian e Ubuntu pode comprometer servidores e dar acesso total ao sistema. A atualização que resolve o problema já foi lançada.

Um ponto de exclamação no kernel Linux chegou para dar root

Um único carácter trocado no kernel de Linux foi suficiente para abrir a porta a root. Literalmente um ponto de exclamação fora do sítio no subsistema nf_tables, que trata do filtro de pacotes e substitui as velhas iptables e companhia. A falha é o CVE-2026-23111 e encaixa na categoria clássica de use-after-free: código a mexer em memória que já devia estar “livre”, mas não está.

O alvo é o mecanismo de verdicts do nf_tables, que decide o que fazer com cada pacote. Aqui entram os chamados elementos catchall, uma espécie de wildcard para quando nada mais faz match. Ao apagar um mapa de verdicts, estes elementos são desactivados e o contador de referências de uma cadeia é decrementado. Se houver um erro, o processo reverte-se e o contador volta a subir. O bug, introduzido pelo tal ponto de exclamação, permite mexer nesse contador de forma arbitrária, libertar a cadeia enquanto ainda há coisas a apontar para ela e, a partir daí, manipular memória a gosto.

Investigadores da Exodus Intelligence detalharam o ataque num artigo técnico. Um utilizador ou processo sem privilégios consegue, em Debian e Ubuntu, usar a vulnerabilidade para escalar privilégios até root. O exploit encadeia várias execuções da falha para vazar o endereço base do kernel, endereços do heap e, por fim, assumir o controlo do fluxo de execução. Segundo a Exodus, em máquinas em repouso, a taxa de sucesso nos testes passou os 99 %. Ou seja, isto não é daquelas falhas teóricas que só funcionam em laboratório com três gatos pingados a ajudar.

A boa notícia: o problema foi corrigido em fevereiro no kernel principal e já foi backported para as grandes distribuições. A FuzzingLabs publicou um prova de conceito em abril e a Exodus incluiu outro PoC no seu texto. Se manténs o sistema minimamente actualizado, especialmente em Debian e Ubuntu com kernels recentes, deverás estar coberto. Se andas a adiar reboots de servidores “porque está tudo a funcionar” e tens utilizadores não totalmente confiáveis a entrar por SSH ou em máquinas multiutilizador, este é um bom motivo para rever prioridades.

Convém também pôr a gravidade em contexto. Esta é uma vulnerabilidade de elevação de privilégios local, não um acesso remoto mágico. Por si só, exige que alguém já consiga correr código na máquina. Mas é precisamente assim que se montam ataques modernos: primeiro uma falha de acesso remoto com poucos privilégios, depois um exploit local destes para subir a root e contornar a sandbox do sistema operativo. Por isso, ambientes com contas partilhadas, universidades, alojamento partilhado ou bastiões SSH são os mais expostos.

CVE-2026-23111 é a terceira falha séria de escalada de privilégios a atingir Linux em poucas semanas. Não é sinal de que “Linux já não é seguro”, é o preço de um kernel gigantesco, com décadas de código e contribuições de todo o lado. O ponto desconfortável, esse sim, é outro: um único carácter mal colocado num componente crítico de firewall chegou para pôr metade do mundo a correr para atualizar. É um lembrete duro de que o modelo de revisão de código do software livre é poderoso, mas não mágico. E que adiar patches de segurança em servidores Linux em nome da “estabilidade” é, cada vez mais, uma aposta fraca.

Fonte: Ars Technica

Comentários · 0