Vulnerabilidade crítica no Linux permite acesso total ao sistema via 'Copy Fail'

Vulnerabilidade 'Copy Fail' no Linux permite acesso root com privilégios locais

A CVE-2026-31431, apelidada de "Copy Fail" pela empresa de segurança Theori, é uma vulnerabilidade crítica no kernel do Linux que está sendo ativamente explorada por invasores. Segundo pesquisadores, a falha permite que qualquer usuário com acesso local autenticado eleve seus privilégios para obter controle total do sistema.

O problema afeta todas as principais distribuições Linux lançadas desde 2017, incluindo servidores e estações de trabalho. A Theori, que descobriu a vulnerabilidade, utilizou inteligência artificial para identificar e relatar a falha ao time de segurança do kernel Linux em 23 de março. Embora a maioria das distribuições já tenha lançado patches antes da divulgação pública, a empresa publicou um proof-of-concept para demonstrar a exploração.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu a CVE-2026-31431 em seu catálogo de vulnerabilidades conhecidas e exploradas, reforçando o risco iminente.

Como a exploração ocorre?

Para explorar a vulnerabilidade, o invasor precisa ter acesso local ao sistema-alvo, seja por meio de credenciais legítimas ou de outra falha que permita entrada não autorizada. Spencer McIntyre, pesquisador de segurança da Rapid7, explicou:

"O atacante precisaria já ter estabelecido uma presença no sistema-alvo, seja por acesso legítimo ou por meio de outra exploração. Essa é uma grande limitação, pois a vulnerabilidade depende de outro vetor de ataque para ser efetiva."

Isso reduz, mas não elimina, o risco de exploração em massa, já que a maioria dos ataques bem-sucedidos exige acesso prévio ao sistema.

Controvérsia em torno da divulgação da Theori

A Theori utilizou IA para identificar e descrever a vulnerabilidade, inclusive na criação do site de divulgação e do blog sobre o assunto. No entanto, a abordagem gerou críticas entre especialistas em segurança. Caitlin Condon, vice-presidente de pesquisa de segurança da VulnCheck, afirmou:

"O exploit é real e há motivos para preocupação, mas a equipe agora precisa validar informações adicionais para separar o FUD (medo, incerteza e dúvida) gerado pela IA do cenário técnico real. O blog da Theori é um exemplo de 'AI slop' — conteúdo inflado e pouco técnico que desvia a atenção da realidade."

Tim Becker, pesquisador sênior da Theori, defendeu o uso de IA, mas afirmou que todo o material foi revisado internamente para garantir precisão:

"Utilizamos IA para agilizar a elaboração do site e do blog, mas todo o conteúdo foi revisado por nossa equipe. Estamos com a divulgação técnica da vulnerabilidade, que permite elevação trivial de privilégios em distribuições Linux desktop e servidor, além de afetar ambientes de containerização, como o Kubernetes."

A Theori optou por não revelar detalhes adicionais até que os patches sejam amplamente aplicados, visando evitar explorações antes da atualização generalizada.

Impacto e recomendações

A CVE-2026-31431 representa um risco significativo para organizações que utilizam sistemas Linux. Embora a exploração exija acesso local prévio, a combinação com outras falhas pode aumentar drasticamente o impacto. Especialistas recomendam:

• Aplicar os patches disponibilizados pelas distribuições Linux o mais rápido possível;
• Revisar políticas de acesso e privilégios para minimizar riscos de exploração;
• Monitorar atividades suspeitas em sistemas críticos, especialmente aqueles com acesso externo;
• Considerar a implementação de soluções de segurança adicionais, como SELinux ou AppArmor, para restringir privilégios desnecessários.

Enquanto a extensão total dos danos ainda não foi determinada, a rápida resposta das distribuições Linux e a inclusão da vulnerabilidade no catálogo da CISA destacam a urgência em corrigir o problema.