Julho 1, 2026

Novas vulnerabilidades no Linux permitem obter acesso root: saiba quais distribuições estão em risco e como se proteger

Falhas no kernel exigem atualização imediata para reduzir riscos de segurança

A segurança continua a ser um dos principais fatores que tornam o Linux uma das plataformas mais utilizadas em servidores, centros de dados e ambientes empresariais. No entanto, mesmo sistemas reconhecidos pela sua robustez podem apresentar vulnerabilidades capazes de comprometer completamente um equipamento quando exploradas por atacantes.

Recentemente, foram identificadas duas novas falhas de segurança no kernel do Linux que podem permitir a um utilizador com permissões limitadas obter privilégios de administrador, conhecidos como acesso root. As vulnerabilidades afetam algumas das distribuições mais populares do mundo e chamam a atenção para a importância de manter o sistema permanentemente atualizado.

Embora já existam correções para parte dos sistemas afetados, administradores e utilizadores devem agir rapidamente para minimizar os riscos de exploração.

Quais são as novas vulnerabilidades?

As duas falhas foram documentadas durante 2025 e fazem parte de uma série de problemas relacionados com a forma como o kernel administra a memória do sistema.

A mais recente recebeu o nome DirtyClone, identificada pelo código CVE-2026-43503, com uma classificação de gravidade de 8,8 em 10. A segunda vulnerabilidade ficou conhecida informalmente como pedit COW e foi registada como CVE-2026-46331.

Ambas permitem que um utilizador sem privilégios administrativos possa, em determinadas circunstâncias, elevar o seu nível de acesso até obter controlo total sobre o sistema operativo.

Como funcionam estas falhas?

O papel da técnica Copy-on-Write

O kernel do Linux utiliza um mecanismo chamado copy-on-write, desenvolvido para evitar que diferentes processos alterem simultaneamente a mesma área de memória.

Quando um processo necessita modificar determinados dados, o sistema cria primeiro uma cópia privada dessa informação. Só depois dessa duplicação é que as alterações são efetuadas, preservando os dados originais.

O problema surge porque, nas duas vulnerabilidades agora descobertas, essa cópia nem sempre é criada corretamente.

Como consequência, o kernel pode acabar por modificar diretamente uma área de memória partilhada que pertence a um ficheiro utilizado pelo próprio sistema.

Como atua o DirtyClone

No caso do DirtyClone, o atacante começa por carregar na memória um programa que possui privilégios elevados, como o comando responsável pela troca de utilizadores.

Em seguida, utiliza um túnel IPsec controlado por si para induzir o kernel a clonar um pacote de rede associado àquela região de memória.

Durante o processo de desencriptação do pacote, o conteúdo armazenado em memória pode ser substituído por instruções definidas pelo invasor.

Quando esse programa voltar a ser executado, poderá conceder acesso root ao atacante.

Funcionamento da vulnerabilidade pedit COW

A falha conhecida como pedit COW segue um princípio semelhante.

Ela está relacionada com uma funcionalidade de edição de pacotes de rede chamada act_pedit. Em vez de criar uma cópia privada antes de modificar os dados, o kernel pode escrever diretamente sobre a memória partilhada.

Essa alteração corrompe a imagem em cache de programas com privilégios elevados, criando uma oportunidade para a escalada de privilégios.

Porque estas vulnerabilidades são difíceis de identificar

Um dos aspetos mais preocupantes destas falhas é que elas não alteram os ficheiros armazenados no disco.

Toda a modificação acontece apenas na memória utilizada pelo kernel durante a execução do sistema.

Na prática, ferramentas tradicionais de verificação de integridade analisam apenas os ficheiros gravados no armazenamento. Como esses ficheiros permanecem inalterados, os sistemas de monitorização podem indicar que tudo está normal, mesmo que um atacante já tenha obtido acesso administrativo.

Embora um simples reinício elimine as alterações existentes na memória, isso não impede que um invasor explore o sistema antes desse momento.

Quem corre maior risco?

A exploração destas vulnerabilidades depende da obtenção de uma permissão de rede conhecida como CAP_NET_ADMIN.

Em diversas distribuições Linux, um utilizador comum pode conseguir essa permissão através da criação de namespaces, ambientes isolados utilizados para separar processos e recursos.

As distribuições apresentam cenários distintos:

  • Debian permite a criação de namespaces por utilizadores sem privilégios por predefinição.
  • Fedora também mantém essa funcionalidade ativada.
  • Ubuntu 24.04 e versões posteriores implementam restrições adicionais através do AppArmor, dificultando a exploração, embora o kernel continue vulnerável.
  • Red Hat Enterprise Linux também está entre os sistemas afetados.

Os ambientes considerados mais expostos incluem:

  • Servidores com múltiplos utilizadores;
  • Plataformas de integração contínua;
  • Servidores que executam contentores;
  • Clusters Kubernetes onde utilizadores sem privilégios podem criar namespaces.

Distribuições afetadas

As vulnerabilidades atingem algumas das distribuições Linux mais utilizadas atualmente, incluindo:

  • Debian;
  • Ubuntu;
  • Fedora;
  • Red Hat Enterprise Linux.

No caso da vulnerabilidade pedit COW, o Debian já disponibilizou uma correção para a versão Trixie através do canal de segurança. No entanto, as versões 11 e 12 continuam vulneráveis.

Já o Ubuntu identifica como afetadas versões desde a 18.04 até à 26.04.

O Red Hat também confirmou impacto nas versões RHEL 8, RHEL 9 e RHEL 10.

Como reduzir os riscos

A principal recomendação consiste em instalar o kernel atualizado disponibilizado pela distribuição Linux utilizada.

Depois da atualização, é indispensável reiniciar o sistema para que a nova versão do kernel entre em funcionamento.

Caso a atualização imediata não seja possível, existe uma medida temporária que consiste em desativar a criação de namespaces por utilizadores sem privilégios.

Embora esta solução reduza significativamente a superfície de ataque, pode provocar incompatibilidades em ambientes que utilizam contentores sem privilégios administrativos e em algumas plataformas de desenvolvimento.

Um problema que continua a evoluir

O DirtyClone não representa um caso isolado.

Antes dele já tinham sido identificadas outras vulnerabilidades que exploravam o mesmo tipo de comportamento, incluindo Copy Fail, DirtyFrag e Fragnesia.

Todas partilham um padrão semelhante: determinadas operações de rede acabam por modificar regiões de memória associadas a ficheiros do sistema quando deveriam criar uma cópia independente antes da alteração.

Segundo os investigadores, cada atualização eliminou apenas uma forma específica de exploração, mas não resolveu definitivamente a origem do problema.

Isso significa que, enquanto todas as funções responsáveis pela manipulação destes fragmentos de memória não respeitarem corretamente o mecanismo previsto pelo kernel, novas variantes poderão surgir no futuro.

Conclusão

As vulnerabilidades DirtyClone e pedit COW demonstram que até mesmo sistemas reconhecidos pela sua estabilidade podem apresentar falhas críticas quando mecanismos internos do kernel não funcionam como esperado.

Embora a exploração dependa de condições específicas, os riscos tornam-se relevantes sobretudo em servidores, ambientes empresariais e infraestruturas que permitem a criação de namespaces por utilizadores sem privilégios.

A melhor forma de proteção continua a ser manter o sistema atualizado, aplicar rapidamente as correções disponibilizadas pela distribuição Linux utilizada e adotar medidas temporárias de mitigação sempre que uma atualização imediata não seja possível. Dessa forma, é possível reduzir significativamente a probabilidade de exploração destas vulnerabilidades e preservar a segurança dos sistemas.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *