Duas novas vulnerabilidades no kernel do Linux permitem a um usuário comum assumir controle total de um sistema. Por meio do ataque, é possível elevar privilégios de uso até o nível de administrador, conhecido como root. As falhas foram documentadas em junho de 2025 e afetam distribuições amplamente usadas, incluindo Debian, Ubuntu, Fedora e Red Hat Enterprise Linux.As duas vulnerabilidades fazem parte de uma série maior de falhas com o mesmo padrão de funcionamento. A mais recente recebeu o nome de DirtyClone, registrada como CVE-2026-43503, com pontuação de gravidade 8.8 em uma escala de 10. A outra, chamada informalmente de pedit COW, foi registrada como CVE-2026-46331.O que são e como funcionamPara entender as falhas, é preciso saber que o kernel do Linux gerencia a memória do computador com cuidado para evitar que dois processos modifiquem o mesmo dado ao mesmo tempo. Ele usa uma técnica chamada copy-on-write, que basicamente cria uma cópia privada dos dados antes de alterá-los.O problema nas duas vulnerabilidades é que essa cópia não acontece corretamente em determinadas situações. O kernel acaba modificando uma região de memória compartilhada, que pertence a um arquivo que está sendo usado pelo sistema.Falhas no kernel do Linux exploram o gerenciamento de memória para permitir escalada de privilégios até o nível root.No caso do DirtyClone, o ataque funciona assim. O invasor carrega na memória um programa com privilégios elevados, como o comando su, que serve para trocar de usuário no Linux.Depois, força o kernel a clonar um pacote de rede que aponta para essa região de memória, usando um túnel IPsec controlado pelo próprio atacante. Durante o processo de decriptação do pacote, o kernel sobrescreve a cópia em memória do programa com instruções escolhidas pelo invasor. Na próxima vez que alguém executar o comando su, ele entrega acesso root.As vulnerabilidades DirtyClone e pedit COW afetam distribuições amplamente usadas, incluindo Debian, Ubuntu e Red Hat.A falha do pedit COW segue o mesmo raciocínio. Ela está em uma funcionalidade de edição de pacotes de rede chamada act_pedit. O kernel deveria criar uma cópia privada dos dados antes de editá-los, mas em certos casos ele escreve direto na memória compartilhada, corrompendo a imagem em cache de um programa com privilégios.Por que é difícil detectarOs dois ataques têm uma característica que complica a detecção. Nenhum deles modifica o arquivo original no disco. A alteração existe apenas na cópia que o kernel mantém na memória.Ferramentas de verificação de integridade de arquivos, como tripwire ou aide, conferem o que está no disco, não o que está na memória – então voltam com resultado limpo enquanto o invasor já tem acesso root. Um simples reboot restaura o sistema ao estado original, mas o atacante já pode ter atuado antes disso.Para explorar as falhas, o invasor precisa ter acesso local ao sistema e criar um namespace com permissões de rede.Quem está em riscoPara explorar as falhas, o invasor precisa de um tipo de permissão de rede chamada CAP_NET_ADMIN. Em muitas distribuições Linux, essa permissão pode ser obtida por um usuário comum ao criar um namespace, que funciona como um ambiente isolado dentro do sistema.No Debian e no Fedora, a criação de namespaces por usuários sem privilégios está habilitada por padrão, o que facilita a exploração. O Ubuntu 24.04 e versões mais recentes têm restrições adicionais via AppArmor que dificultam o caminho padrão do ataque, mas o kernel ainda é vulnerável.Os sistemas mais expostos são servidores com múltiplos usuários, ambientes de integração contínua, servidores de containers e clusters Kubernetes onde usuários sem privilégios podem criar namespaces.Os ataques não deixam rastros em disco, o que dificulta a detecção por ferramentas tradicionais de verificação de integridade.O que fazerA correção para o DirtyClone foi incorporada ao kernel Linux na versão 7.1-rc5, lançada em 24 de maio. Debian, Ubuntu e SUSE já publicaram atualizações. O Red Hat tem um registro em acompanhamento.Para o pedit COW, a situação varia por distribuição. O Debian corrigiu a versão trixie pelo canal de segurança, mas as versões 11 e 12 ainda estão vulneráveis. O Ubuntu lista versões de 18.04 até 26.04 como afetadas. O Red Hat lista o RHEL 8, 9 e 10 como afetados.A recomendação principal é instalar o kernel atualizado da sua distribuição e reiniciar o sistema. Quem não puder atualizar imediatamente pode desativar a criação de namespaces sem privilégios como medida temporária, usando o parâmetro kernel.unprivileged_userns_clone=0 no Debian e Ubuntu ou user.max_user_namespaces=0 no RHEL. A desvantagem é que isso pode quebrar containers sem root e alguns ambientes de desenvolvimento.Os ataques não deixam rastros em disco, o que dificulta a detecção por ferramentas tradicionais de verificação de integridade. Imagem: JFrog.Parte de um padrão mais amploO DirtyClone é a quarta vulnerabilidade recente com o mesmo mecanismo de falha. Antes dele vieram Copy Fail, DirtyFrag e Fragnesia, todos explorando situações em que a memória ligada a um arquivo no disco é tratada como dado de pacote de rede, e uma operação de rede sobrescreve onde deveria ter copiado.Cada correção fechou um caminho específico e deixou outros abertos. Pesquisadores apontam que o problema não está em uma função isolada, mas em um contrato que precisa ser respeitado por todos os pontos do código que movem fragmentos de rede. Enquanto alguma função violar esse contrato, novas variantes podem surgir.Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.