Falha de escrita fora dos limites no subsistema de controle de tráfego do núcleo permite que usuários locais sobrescrevam binários em memória e obtenham acesso administrativo.
| Componente | Subsistema de controle de tráfego do núcleo Linux, especificamente a ação de edição de pacotes act_pedit. |
| Vetor | Escrita fora dos limites acionada por usuários locais sem privilégios que utilizam namespaces isolados para obter a capacidade de rede CAP_NET_ADMIN. |
| Impacto | Corrupção da memória cache de páginas compartilhada e injeção de payload em binários setuid, resultando em acesso root e bypass de verificações de integridade de arquivos. |
| Prioridade | Aplicar as correções do núcleo liberadas pelas distribuições e priorizar a atualização de sistemas multiusuários, nós de orquestração de contêineres e ambientes de compilação. |
| Versões Afetadas | RHEL 8, 9 e 10; Ubuntu das versões 18.04 até 26.04; Debian 11 e 12 (o Debian 13 já possui correção aplicada). |
A identificação da vulnerabilidade CVE-2026-46331, conhecida na comunidade de segurança como pedit COW, revelou uma falha crítica de escalonamento de privilégios no núcleo Linux. A falha reside no subsistema de controle de tráfego de rede do sistema operacional, mais especificamente na implementação da ação de edição de pacotes, chamada act_pedit. O problema de segurança permite que usuários locais sem privilégios consigam obter acesso administrativo, comprometendo totalmente o hospedeiro. A gravidade do incidente operacional é acentuada pelo fato de um código de prova de conceito funcional ter sido divulgado publicamente logo após a atribuição formal do identificador em meados de junho.
A exploração técnica contorna as defesas tradicionais baseadas em disco ao corromper a cópia em cache de um binário raiz confiado, como /bin/su, que está residente na memória do sistema operacional. Ao injetar um payload diretamente nessa imagem em memória corrompida e solicitar a sua execução, o operador malicioso consegue iniciar uma sessão com privilégios máximos de administrador. Ferramentas de monitoramento de integridade de arquivos não detectam a alteração maliciosa, pois o arquivo binário original no armazenamento físico permanece intacto durante todo o processo do ataque.
A causa raiz da falha é uma vulnerabilidade de escrita fora dos limites na função do núcleo responsável pelo processamento de rede denominada tcf_pedit_act(). Está função processa regras de controle de tráfego com o objetivo de aplicar modificações em pacotes de rede em trânsito. O padrão arquitetural esperado exigia que o núcleo criasse uma cópia privada dos dados antes de aplicar qualquer edição, seguindo o modelo de cópia na escrita. No entanto, a rotina de validação verifica o intervalo gravável apenas uma vez, e essa checagem ocorre prematuramente, antes que os deslocamentos de memória finais sejam completamente calculados.
Como algumas chaves de edição embutidas só resolvem seus deslocamentos exatos em tempo de execução, a gravação final dos dados modificados acaba ocorrendo fora da área de memória privada reservada. Quando essa gravação transborda para fora do limite seguro, o núcleo modifica uma página de memória presente no cache de páginas compartilhado. Se essa página de memória contaminada abrigar a imagem de um arquivo executável de sistema, a representação binária em memória do arquivo é corrompida e substituída de forma silenciosa.
Para iniciar a falha, o invasor precisa que o módulo do núcleo act_pedit esteja carregável e que namespaces de usuários não privilegiados estejam habilitados no sistema alvo. Através do uso de namespaces de usuários isolados, um invasor sem privilégios obtém a capacidade de rede CAP_NET_ADMIN dentro daquele ambiente restrito. Essa capacidade é suficiente para configurar a ação de controle de tráfego tc pedit, que então aciona a falha de validação na cópia na escrita. Esse padrão de exploração de invasão de memória compartilhada é arquitectonicamente semelhante a incidentes anteriores de grande escala, como Dirty Pipe e Dirty Frag.
A vulnerabilidade afeta profundamente uma ampla gama de sistemas baseados no núcleo Linux, mas o sucesso da exploração de escalonamento depende das configurações de isolamento e das políticas de segurança da distribuição utilizada. Ameaças locais de escalonamento de privilégios possuem um impacto severo em arquiteturas de infraestrutura moderna onde o isolamento de workloads depende fortemente do núcleo do sistema operacional hospedeiro, como em máquinas de runners de integração contínua e nós deorphans de orquestração de contêineres.
- RHEL versões 8, 9 e 10 estão oficialmente listados como afetados pelo fabricante, enquanto o RHEL 7 não consta no boletim de segurança.
- As linhas de ramo suportadas do Ubuntu, da versão 18.04 até a recente 26.04, apresentam o núcleo vulnerável.
- Distribuições Debian 11 e 12 permanecem expostas ao ataque de escalação, já o ramo mais recente atualizado, o Debian 13 trixie, teve a correção aplicada em seus repositórios de segurança.
- Sistemas classificados como de alto risco operacional incluem hospedeiros multiusuários, plataformas de pesquisa acadêmica compartilhada, ambientes de compilação técnica de código aberto e nós de trabalhadores em clusters de orquestração de contêineres.
Uma vez que a exploração maliciosa ocorre inteiramente na memória não paginável do núcleo e contorna verificações de assinatura em disco, equipes de resposta a incidentes devem priorizar a observação comportamental do sistema. A detecção voltada para acstringação de processos, ações de administração de rede simuladas por usuários não privilegiados e anomalias na execução de binários críticos é fundamental para identificar a atividade hostil.
- Inspecionar logs de auditoria do sistema ligados à syscall de criação de namespaces para identificar contas de serviços ouUsuários não privilegiados instanciando ambientes de rede locais com permissões de domínio administrativo.
- Monitorar ativamente tentativas de associação e carregamento dos módulos internos de rede do núcleo, especialmente os voltados para a estrutura de edição de pacotes do controle de tráfego.
- Rastrear por meio de ferramentas de segurança de endpoint anomalias na fila de execução onde ferramentas administrativas críticas como
/bin/suabram descritores de arquivos de comunicação ou gerem processos shell sem a presença de tráfego de teclado interactivo no console. - Alertar sobre o encerramento inesperado, reinícios do serviço de segurança ou travamentos isolados da pilha de rede, que podem indicar que tentativas iniciais de deslocamento de memória Falharam antes de encontrar o byte correto do cache.
A solução definitiva requer a instalação das compilações atualizadas do núcleo fornecidas pela respectiva distribuição Linux afetada e a reinicialização coordenada dos hospedeiros. Atualizações devem priorizar sistemas de computação em nuvem, contêineres e qualquer máquina em que a prima de segurança confie na contenção de processos para limitar o raio de ação de atores maliciosos que possuam presença local inicial. Para servidores críticos onde a janela de reinicialização não é imediatamente possível, administradores podem adotar contenções temporárias de compensação para quebrar o fluxo da cadeia de exploração.
- Bloquear o carregamento automático e manual do módulo restringindo as regras de rede do núcleo caso as ferramentas de controle e edição de tráfego não sejam utilizadas na rotina do servidor.
- Desativar globalmente a permissão para que usuários não privilegiados utilizem o recurso de namespaces, impedindo o escalar local e a obtenção da habilidade necessária de
CAP_NET_ADMIN. - Revisar e aplicar perfis rígidos de segurança do framework AppArmor, restringindo a capacidade de usuários comuns escalonarem chamadas privilegiadas do núcleo.
- Considerar todo host suspeito de exploração confirmada como comprometido de forma irreversível, pois a limpeza forçada das páginas de memória não interrompe ou reverte shells administrativos que já foram estabelecidos na máquina atacada.
0 Comentários