CopyFail - CVE-2026-31431

Title: Copy Fail: 732 bytes para root em todas as principais distribuições Linux

• Copy Fail (CVE-2026-31431) é uma vulnerabilidade crítica no template de criptografia authencesn do kernel Linux que permite que um usuário local sem privilégios obtenha privilégios de root. Com um exploit de 732 bytes, é possível modificar binários setuid para obter privilégios de root em grandes distribuições Linux como Ubuntu, Amazon Linux, RHEL e SUSE.
• A vulnerabilidade decorre de um erro lógico na forma como páginas do page cache são colocadas em uma scatterlist gravável, o que possibilita uma gravação controlada de 4 bytes no page cache de qualquer arquivo legível. Como isso contorna os caminhos normais de escrita, os checksums em disco permanecem inalterados, permitindo que o exploit seja executado de forma furtiva.
• O exploit usa o tipo de socket AF_ALG e a chamada de sistema splice() para passar páginas do page cache ao subsistema de criptografia. Em seguida, a implementação do algoritmo authencesn escreve dados nessas páginas do page cache além do buffer de saída pretendido.
  Esse bug é altamente portável entre distribuições e arquiteturas, exige código mínimo — apenas um pequeno script em Python — e, como o page cache é compartilhado em todo o sistema, pode até permitir escape de contêineres.
• A causa raiz está na combinação do suporte AEAD do AF_ALG, do caminho splice() que expõe páginas do page cache e, em especial, da forma como o authencesn passou a usar o buffer de destino como espaço temporário após a otimização in-place introduzida em 2017.
  O exploit tem como alvo binários setuid comuns, como /usr/bin/su. Ele sobrescreve parte do binário com shellcode e faz com que ele seja executado com privilégios de root quando o binário é carregado a partir do page cache corrompido.
• A correção aplicada ao kernel mainline reverteu o AF_ALG AEAD para operações out-of-place, separando efetivamente as scatterlists de origem e destino e removendo a capacidade de gravar em páginas encadeadas do page cache.
  As formas de correção incluem patch no kernel e atualizações de pacotes da distribuição; como mitigação imediata, é possível bloquear a criação de sockets AF_ALG via seccomp ou adicionar o módulo algif_aead à blacklist.
• A vulnerabilidade foi descoberta pela equipe de pesquisa da Xint Code usando ferramentas de pesquisa em segurança com apoio de IA, com base no insight inicial de Taeyang Lee, da Theori.