
Investigadores de segurança revelaram os detalhes de uma vulnerabilidade no Linux que permite a um utilizador local sem privilégios escalar permissões para root e escapar de contentores isolados. O código da correção já se encontra no repositório oficial do kernel, enquanto a explicação técnica completa foi recentemente publicada pela Exodus Intelligence.
Um erro simples com consequências graves
A vulnerabilidade, classificada com o nível de gravidade elevado e identificada como CVE-2026-23111, reside no sistema de filtragem de pacotes nf_tables e resulta de um erro de gestão de memória. Surpreendentemente, o problema teve origem num único caractere perdido que inverteu uma verificação de segurança essencial, tendo sido resolvido na origem no passado dia 5 de fevereiro com a eliminação de apenas uma linha de código.
Para que o ataque seja bem-sucedido, o sistema precisa de ter os namespaces de utilizador sem privilégios ativados, uma configuração que vem ativada por defeito em grande parte das distribuições. Esta característica permite a uma conta normal atuar com privilégios máximos dentro de uma sandbox privada, abrindo a porta para interagir com partes do núcleo do sistema que de outra forma estariam inacessíveis.
Embora não exista um vetor de ataque remoto direto, esta é a ferramenta perfeita para um atacante que já tenha conseguido acesso básico ao sistema. A partir de uma simples shell restrita ou de um contentor comprometido, é possível contornar as proteções de memória embutidas e assumir o controlo total da máquina hospedeira.
O impacto nos sistemas e a urgência de atualizar
O investigador Oliver Sieber, que descobriu o problema no início de 2025, demonstrou o funcionamento prático da exploração em sistemas como o Debian Bookworm e Trixie, bem como nas versões mais recentes do Ubuntu. Outras empresas na área da cibersegurança também conseguiram reproduzir o ataque de forma independente em sistemas Red Hat durante os preparativos para o evento Pwn2Own Berlin 2026.
Esta descoberta surge numa altura em que se regista uma onda de falhas semelhantes no núcleo do sistema, onde um acesso mínimo se transforma rapidamente em controlo total. Especialistas apontam que a velocidade com que as explorações são criadas antes das correções chegarem a todos os utilizadores está diretamente ligada ao uso de modelos de inteligência artificial que aceleram o trabalho dos investigadores e de possíveis atacantes.
A recomendação para os administradores de sistemas é clara: aplicar as atualizações de segurança e reiniciar as máquinas de imediato. Nos casos em que a atualização não possa ser feita no momento, a mitigação passa por restringir o acesso à criação de namespaces para utilizadores não confiáveis, cortando assim o caminho principal necessário para o ataque.












Nenhum comentário
Seja o primeiro!