O que é a falha Copy Fail e por que ela gera preocupação na comunidade Linux?
Uma nova vulnerabilidade, batizada de “Copy Fail” (Falha de Cópia), está gerando discussões entre os usuários do Linux. Descoberta por pesquisadores da empresa de segurança Theori, a falha permite que um usuário comum, com acesso local ao sistema, obtenha privilégios de administrador (root).
Essa capacidade pode ser explorada para diversas ações maliciosas, como captura de dados sensíveis, instalação de códigos maliciosos, alteração de configurações de segurança e até mesmo espionagem oculta. O nome “Copy Fail” deriva diretamente da forma como a vulnerabilidade é ativada, envolvendo um erro na operação de cópia de dados dentro de um módulo criptográfico específico do kernel Linux.
A gravidade potencial da falha Copy Fail reside também em seu amplo alcance. Ela afeta versões do kernel Linux lançadas a partir de 2017, impactando diretamente um grande número de distribuições populares. Conforme informação divulgada pelos pesquisadores, o problema foi confirmado em sistemas como Ubuntu 24.04 LTS, Amazon Linux 2023, SUSE 16 e Red Hat Enterprise Linux 10.1.
Como funciona a falha Copy Fail?
A vulnerabilidade, formalmente identificada como CVE-2026-31431, explora uma falha no módulo criptográfico `algif_aead` do kernel Linux. Sob certas condições, o sistema pode sobrescrever indevidamente quatro bytes de uma página associada ao `page cache`. O `page cache` é uma estrutura de memória que armazena dados frequentemente acessados, como programas e bibliotecas, para agilizar o acesso.
Embora a manipulação envolva apenas uma pequena quantidade de dados por operação, os pesquisadores demonstraram que é possível explorar essa falha para modificar arquivos mapeados na memória. Essa modificação permite que um atacante, com acesso local, ganhe privilégios de administrador. A demonstração foi realizada com um script de Python de apenas 732 bytes, evidenciando a simplicidade de sua exploração.
O risco da falha Copy Fail para usuários domésticos e corporativos
A Theori, em seu site dedicado à falha Copy Fail, tranquiliza os usuários domésticos, indicando que o risco para quem utiliza notebooks e desktops é baixo. A principal razão para isso é que a vulnerabilidade não pode ser explorada remotamente, exigindo acesso físico ou local ao dispositivo.
No entanto, o cenário muda para ambientes profissionais. Aplicações que executam múltiplos usuários, clusters Kubernetes e serviços de Software como Serviço (SaaS) são considerados de alto risco. Isso ocorre porque nesses ambientes, diversos agentes compartilham o mesmo kernel e, consequentemente, o mesmo `page cache`, facilitando a exploração da falha Copy Fail.
Para servidores Linux convencionais, o risco é classificado como médio. A razão é que o acesso a esses servidores geralmente é restrito a um número menor de administradores, o que diminui o compartilhamento do `page cache` e, por extensão, a superfície de ataque da falha Copy Fail.
Correções já estão a caminho
A boa notícia é que as atualizações para corrigir a falha Copy Fail já estão sendo liberadas. Empresas como Red Hat e Canonical (desenvolvedora do Ubuntu), além da SUSE, já disponibilizaram ou estão trabalhando ativamente em patches para suas distribuições. A recomendação geral é manter o sistema sempre atualizado.
Em resumo, a falha Copy Fail é uma vulnerabilidade significativa que exige atenção e correção. Contudo, para a maioria dos usuários domésticos, o impacto é mínimo, desde que mantenham suas distribuições Linux atualizadas. Organizações e empresas devem seguir as orientações dos mantenedores de suas distribuições para garantir a segurança de suas aplicações críticas.