Zero-Day & Exploits
Exploit disponível para nova falha de escalonamento
Exploit disponível para nova falha de escalonamento de raiz do DirtyDecrypt Linux.
Uma vulnerabilidade de escalonamento de privilégios locais recentemente corrigida no módulo rxgk do kernel Linux agora possui uma exploração de prova de conceito que permite que invasores obtenham acesso root em alguns sistemas Linux.
Chamada DirtyDecrypt e também conhecida como DirtyCBC, essa falha de segurança também foi encontrada e relatada de forma autônoma pela equipe de segurança do V12 no início deste mês, quando os mantenedores os informaram que se tratava de uma duplicata que já havia sido corrigida na linha principal.
"Encontramos e relatamos isso em 9 de maio de 2026, mas fomos informados de que era uma duplicata pelos mantenedores", V12 disse. "É uma gravação de pagecache rxgk devido à falta de proteção COW em rxgk_decrypt_skb. Consulte poc.c para obter mais detalhes."
Embora não exista um ID CVE oficial associado a esta falha de segurança, de acordo com Will Dormann (analista principal de vulnerabilidades da Tharros), as informações dos pesquisadores de segurança estão alinhadas com os detalhes de CVE-2026-31635, que foi corrigido em 25 de abril.
A exploração bem-sucedida requer a execução de um kernel Linux com o Opção de configuração CONFIG_RXGK, que permite RxGK suporte de segurança para o cliente Andrew File System (AFS) e transporte de rede.
Isso limita a superfície de ataque às distribuições Linux que seguem de perto as últimas versões upstream do kernel, incluindo Fedora, Arch Linux e openSUSE Tumbleweed. No entanto, a exploração de prova de conceito do V12 só foi testada no Fedora e no kernel Linux principal.
DirtyDecrypt pertence à mesma classe de vulnerabilidade de várias outras falhas de escalonamento de raiz divulgadas nas últimas semanas, incluindo Fragmento Sujo, Fragnésia, e Falha na cópia.
Usuários Linux em distros potencialmente afetados pelo DirtyDecrypt são aconselhados a instalar as atualizações mais recentes do kernel o mais rápido possível.
No entanto, aqueles que não conseguem corrigir seus dispositivos imediatamente devem usar a mesma mitigação usada para Dirty Frag (no entanto, isso também quebrará VPNs IPsec e sistemas de arquivos de rede distribuída AFS):
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"
Essas divulgações seguem relatos recentes de que os invasores estão agora explorando ativamente a vulnerabilidade Copy Fail na natureza.
Agência de Segurança Cibernética e de Infraestrutura (CISA) adicionado Falha de cópia para seu lista de falhas exploradas em ataques em 1o de maio e ordenou que as agências federais protegessem seus dispositivos Linux dentro de duas semanas, até 15 de maio.
"Esse tipo de vulnerabilidade é um vetor de ataque frequente para agentes cibernéticos maliciosos e representa riscos significativos para a empresa federal", alertou a agência de segurança cibernética dos EUA.
Em abril, Distros Linux lançaram patches para outra vulnerabilidade de escalonamento de privilégios de root (chamada Pack2TheRoot) no daemon PackageKit que passou despercebida por quase 12 anos.
