Uma vulnerabilidade de escalada local de privilégios no módulo rxgk do kernel Linux, recentemente corrigida, já conta com um exploit de prova de conceito que permite a invasores obter acesso root em alguns sistemas Linux.
Batizada de DirtyDecrypt, e também conhecida como DirtyCBC, essa falha de segurança foi encontrada e reportada de forma autônoma pela equipe V12 no início deste mês.
Segundo o grupo, os mantenedores informaram que se tratava de um duplicado de uma correção já aplicada na versão principal do kernel.
“Encontramos e reportamos isso em 9 de maio de 2026, mas fomos informados pelos mantenedores de que era um duplicado”, disse a V12.
“Trata-se de uma gravação na pagecache do rxgk causada pela ausência de uma proteção COW em rxgk_decrypt_skb.
Veja poc.c para mais detalhes.”
Embora essa falha ainda não tenha um identificador oficial CVE, o analista principal de vulnerabilidades da Tharros, Will Dormann, afirma que as informações divulgadas pelos pesquisadores de segurança correspondem aos detalhes da
CVE-2026-31635
, corrigida em 25 de abril.
Para que a exploração tenha sucesso, é necessário executar um kernel Linux com a opção de configuração CONFIG_RXGK habilitada, o que ativa o suporte de segurança RxGK para o cliente e o transporte de rede do Andrew File System (AFS).
Na prática, isso restringe a superfície de ataque a distribuições Linux que acompanham de perto as versões mais recentes do kernel upstream, incluindo Fedora, Arch Linux e openSUSE Tumbleweed.
No entanto, o exploit de prova de conceito da V12 só foi testado no Fedora e no kernel principal do Linux.
A DirtyDecrypt pertence à mesma classe de vulnerabilidades de outras falhas de escalada de privilégio para root divulgadas nas últimas semanas, entre elas Dirty Frag, Fragnesia e Copy Fail.
Usuários de Linux em distribuições potencialmente afetadas pela DirtyDecrypt são orientados a instalar as atualizações mais recentes do kernel o quanto antes.
Quem não puder aplicar o patch imediatamente deve adotar a mesma medida de mitigação usada para a Dirty Frag.
No entanto, isso também quebrará VPNs IPsec e sistemas de arquivos de rede distribuídos do AFS.
As revelações ocorrem após relatos recentes de que invasores já estão explorando ativamente a vulnerabilidade Copy Fail em ambiente real.
A Cybersecurity and Infrastructure Security Agency, CISA, adicionou a Copy Fail à sua lista de falhas exploradas em ataques em 1º de maio e determinou que agências federais protegessem seus dispositivos Linux em até duas semanas, ou seja, até 15 de maio.
“Esse tipo de vulnerabilidade é um vetor de ataque frequente para agentes cibernéticos maliciosos e representa riscos significativos para o ambiente federal”, alertou a agência de cibersegurança dos Estados Unidos.
Em abril, distribuições Linux lançaram patches para outra vulnerabilidade de escalada de privilégios de root, apelidada de Pack2TheRoot, no daemon PackageKit, que havia passado despercebida por quase 12 anos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...