A CISA adiciona a falha de cópia do Linux que falha à lista de bugs explorados

Uma vulnerabilidade de segurança recentemente divulgada no Linux chamou a atenção de oficiais de cibersegurança dos EUA após pesquisadores alertarem que atacantes poderiam usar um pequeno script em Python para obter acesso root em sistemas afetados.

Resumo

• A CISA adicionou o Copy Fail à sua lista de bugs explorados após relatos de uso ativo no Linux.
• Pesquisadores disseram que os atacantes precisam de acesso prévio ao código antes de usar a falha para obter direitos de root.
• Trocas de criptomoedas e nós podem revisar a exposição do Linux porque muitos sistemas críticos executam distribuições afetadas.

A falha, conhecida como Copy Fail e rastreada como CVE-2026-31431, afeta muitas distribuições Linux lançadas desde 2017. A CISA adicionou o bug ao seu catálogo de Vulnerabilidades Exploradas Conhecidas, citando risco de exploração ativa

Copy Fail é uma vulnerabilidade de escalonamento de privilégios locais no kernel Linux. Ela não concede acesso remoto por si só. Um atacante deve já ter execução de código no sistema antes de usar a falha para obter direitos de root.

Pesquisadores de segurança disseram que a falha afeta distribuições Linux principais, incluindo Ubuntu, Red Hat, SUSE e Amazon Linux. A Microsoft também alertou que o bug pode afetar cargas de trabalho em nuvem e ambientes Kubernetes

Pesquisadores alertam sobre caminho de exploração simples

Theori e Xint Code associaram o problema ao subsistema de criptografia do kernel Linux. Pesquisadores disseram que a falha permite que um atacante corrompa o cache de páginas na memória de arquivos legíveis, incluindo binários privilegiados

O pesquisador Miguel Angel Duran descreveu a exploração como incomumente simples, dizendo: “10 linhas de Python” podem ser suficientes para obter acesso root em sistemas afetados. Outro pesquisador chamou a falha de “insana”, refletindo preocupação sobre o quão pequena a exploração pode ser.

Além disso, a CISA adicionou o CVE-2026-31431 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas em 1º de maio. A agência afirmou que o kernel Linux contém uma falha de transferência incorreta de recursos que pode permitir escalonamento de privilégios

A listagem KEV significa que agências civis federais devem seguir o cronograma de remediação da CISA. Empresas privadas também costumam usar o catálogo para priorizar trabalhos de correção, especialmente quando existe código de exploração pública.

Empresas de criptomoedas podem revisar a exposição do Linux

Linux alimenta muitas exchanges de criptomoedas, nós de blockchain, validadores, custodians e sistemas de negociação baseados em nuvem. Isso torna a aplicação de patches importante para empresas que operam infraestrutura crítica em distribuições afetadas.

A falha não direciona diretamente carteiras de criptomoedas ou blockchains. No entanto, pode criar risco se um atacante primeiro obtiver acesso a um servidor Linux e depois usar o Copy Fail para obter controle root.

O CEO da Theori, Brian Pak, disse que a equipe reportou a vulnerabilidade de forma privada à equipe de segurança do kernel Linux em 23 de março. Os patches chegaram ao kernel principal em 1º de abril, enquanto o CVE foi atribuído em 22 de abril.

Empresas de segurança recomendaram aos usuários aplicar kernels corrigidos quando disponíveis. A Sophos afirmou que existe código de exploração de prova de conceito pública e que organizações devem priorizar correções para hosts Linux multi-inquilino e plataformas de containers