Conhecida como “Copy Fail”, uma nova vulnerabilidade descoberta em sistemas Linux representa um risco significativo para servidores e estações de trabalho que utilizam o sistema operacional em todo o mundo. É o que revela um boletim da Vision Cybersecurity, spin-off da ISH Tecnologia especializada em Segurança Digital.
A falha está relacionada ao subsistema criptográfico do Linux, e permite que usuários sem privilégios consigam manipular dados em memória e executar programas críticos com permissões de administrador. Em termos práticos, isso significa que qualquer usuário comum, entre eles um potencial criminoso, pode se tornar “root” – o nível mais alto de acesso em sistemas Linux – comprometendo totalmente a segurança da máquina.
Pesquisadores de Segurança já demonstraram um exploit funcional que modifica em memória binários como o /usr/bin/su. Ao executar esse programa alterado, o atacante obtém acesso irrestrito ao sistema. O risco é considerado de alta gravidade, especialmente porque o código de exploração já está disponível publicamente e pode ser usado em cenários reais.
As distribuições afetadas incluem Ubuntu, Debian, Red Hat Enterprise Linux (RHEL), CentOS, Rocky Linux, AlmaLinux, SUSE e outras. Ou seja, praticamente todo o ecossistema Linux pode estar vulnerável, dependendo da versão do kernel utilizada.
Os potenciais impactos da falha incluem, por exemplo, a elevação de privilégios locais, permitindo que usuários comuns se tornem administradores. Uma vez que eles passam a ter acesso irrestrito a dados e processos, corre-se o risco do comprometimento total do sistema. Além disso, criminosos podem manipular arquivos em memória sem alterar diretamente o disco, dificultando a detecção.
A Vision também chama a atenção para o fato de que vulnerabilidades como essa podem ser a porta de entrada para novos vazamentos. Uma vez invadido, o sistema pode ser utilizado para ataques subsequentes, e os dados coletados vendidos em fóruns ilegais. Além disso, há a possibilidade de multas regulatórias em ambientes sujeitos à LGPD ou GDPR, caso dados de usuários sejam expostos.
De modo a mitigar os potenciais riscos da vulnerabilidade, a Vision lista uma série de medidas:
– Atualizar imediatamente o kernel Linux para versões corrigidas;
– Aplicar patches de segurança específicos relacionados ao módulo vulnerável;
– Reiniciar os sistemas após a atualização para garantir que o novo kernel esteja em uso;
– Desativar temporariamente o módulo afetado (algif_aead) se não for necessário;
– Restringir acesso de usuários não confiáveis e revisar permissões de shell;
– Monitorar execução de binários privilegiados como /usr/bin/su e /bin/sudo;
– Implementar mecanismos de segurança adicionais como SELinux, AppArmor e Kernel Lockdown Mode.
