- Alex Reissler
- 29 de maio de 2025, às 07:30
As vulnerabilidades Pedit COW (CVE-2026-46331) e DirtyClone (CVE-2026-43503) reforçam um alerta importante para administradores de servidores Linux: falhas no gerenciamento de memória do kernel continuam sendo exploradas com técnicas cada vez mais sofisticadas. Documentadas em junho de 2026 e com gravidade de até 8.8 em 10 no sistema CVSS, ambas permitem que um usuário com acesso local obtenha privilégios de administrador (root) em distribuições como Debian, Ubuntu, Fedora e Red Hat Enterprise Linux.
O Linux é reconhecido mundialmente como um dos sistemas operacionais mais seguros e confiáveis para servidores. Sua estabilidade faz com que seja amplamente utilizado em data centers, provedores de computação em nuvem, ambientes corporativos, plataformas de virtualização, aplicações web e infraestrutura crítica. No entanto, nenhuma tecnologia está completamente imune à descoberta de novas vulnerabilidades, especialmente em um componente tão complexo quanto o kernel.
Nos últimos anos, pesquisadores de segurança têm demonstrado que pequenas falhas no gerenciamento de memória podem abrir caminho para ataques capazes de comprometer totalmente um sistema. Em 2016, a vulnerabilidade Dirty COW tornou-se uma das mais conhecidas da história do Linux ao permitir a elevação local de privilégios por meio de uma condição de corrida (race condition) envolvendo o mecanismo Copy-on-Write (CoW). Quase uma década depois, novas pesquisas mostram que esse tipo de problema continua sendo uma área de atenção — e a velocidade com que provas de conceito são publicadas após cada divulgação reduz drasticamente a janela de correção disponível para administradores.
Neste artigo, você entenderá o que são essas duas vulnerabilidades, como elas funcionam, quais ambientes podem ser impactados e quais práticas ajudam empresas a reduzir os riscos associados a esse tipo de ameaça.
As vulnerabilidades Pedit COW (CVE-2026-46331) e DirtyClone (CVE-2026-43503) são falhas de escalonamento local de privilégios descobertas no kernel Linux e documentadas em junho de 2026. O DirtyClone recebeu pontuação de gravidade 8.8 em 10 no sistema CVSS, o que o classifica como de alta severidade. Em outras palavras, elas não permitem que um invasor ataque diretamente um servidor pela internet, mas podem ser exploradas por alguém que já possua algum nível de acesso ao sistema, ainda que bastante restrito.
Quando esse tipo de exploração é bem-sucedido, o invasor consegue elevar seus privilégios até o nível de administrador (root), passando a controlar praticamente todos os recursos do servidor. Isso inclui acesso a arquivos sensíveis, instalação de programas maliciosos, alteração de configurações do sistema e movimentação lateral dentro da infraestrutura corporativa.
Embora tenham sido divulgadas conjuntamente, Pedit COW e DirtyClone exploram partes diferentes do kernel Linux. Ambas utilizam condições de corrida (race conditions), mas cada uma atua sobre mecanismos distintos relacionados ao gerenciamento de memória e ao funcionamento interno do sistema operacional.
act_pedit, integrante do subsistema Traffic Control (TC), responsável pela manipulação de pacotes de rede.Essas descobertas reforçam que o gerenciamento de memória permanece sendo uma das áreas mais complexas do desenvolvimento do kernel Linux. Pequenas falhas de sincronização entre processos podem criar oportunidades inesperadas para que usuários mal-intencionados obtenham privilégios elevados. Vale destacar ainda que o DirtyClone é a quarta vulnerabilidade recente com o mesmo padrão de funcionamento — antes dele vieram Copy Fail, DirtyFrag e Fragnesia —, o que indica que o problema está em um contrato arquitetural que precisa ser respeitado por múltiplos pontos do código, não em uma função isolada.
Embora ambas tenham como objetivo final o escalonamento de privilégios, seus mecanismos internos são diferentes.
A Pedit COW explora uma condição de corrida envolvendo o módulo act_pedit, utilizado pelo subsistema Traffic Control do Linux. O kernel deveria criar uma cópia privada dos dados antes de editá-los, mas em certos casos escreve diretamente na memória compartilhada, corrompendo a imagem em cache de um programa com privilégios.
Na prática, o ataque modifica apenas a cópia existente na memória (page cache), sem alterar o executável armazenado em disco. Ferramentas tradicionais de verificação de integridade, como tripwire e aide, analisam arquivos em disco — e por isso retornam resultado limpo enquanto o invasor já tem acesso root. Essa característica evidencia como ataques modernos podem atuar diretamente sobre estruturas temporárias do sistema operacional, contornando defesas convencionais.
A DirtyClone utiliza uma abordagem diferente. O invasor carrega na memória um programa com privilégios elevados — como o comando su — e força o kernel a clonar um pacote de rede que aponta para essa região de memória, usando um túnel IPsec sob seu controle. Durante o processo de decriptação, o kernel sobrescreve a cópia em memória do programa com instruções escolhidas pelo invasor. Na próxima vez que alguém executar o comando, o sistema entrega acesso root.
Assim como na Pedit COW, nenhuma modificação ocorre no disco. Um simples reboot restaura o sistema ao estado original — mas o invasor já pode ter atuado antes disso. Ambas demonstram que erros de sincronização continuam representando um desafio significativo no desenvolvimento de sistemas operacionais modernos.
Ao observar os nomes dessas vulnerabilidades, muitas pessoas imaginam que se trata apenas de novas versões da Dirty COW. Na realidade, a relação entre elas é mais conceitual do que técnica.
A Dirty COW, descoberta em 2016, explorava uma falha histórica no mecanismo Copy-on-Write, permitindo modificar páginas de memória somente leitura durante uma condição de corrida. A Pedit COW (CVE-2026-46331) utiliza outra abordagem, explorando o subsistema Traffic Control e o módulo act_pedit, enquanto a DirtyClone (CVE-2026-43503) atua sobre processos de clonagem de pacotes de rede via IPsec.
Apesar dessas diferenças, todas compartilham algumas características importantes:
A divulgação dessas vulnerabilidades despertou atenção principalmente entre organizações que utilizam Linux como base de sua infraestrutura tecnológica. As distribuições confirmadas como afetadas incluem Debian (versões 11 e 12 ainda sem correção para Pedit COW), Ubuntu (versões 18.04 até 26.04), Fedora e Red Hat Enterprise Linux (RHEL 8, 9 e 10). Entre os ambientes com maior exposição estão:
A exploração requer um tipo de permissão de rede chamada CAP_NET_ADMIN. No Debian e no Fedora, essa permissão pode ser obtida por um usuário comum ao criar um namespace — e essa capacidade está habilitada por padrão. O Ubuntu 24.04 e versões mais recentes possuem restrições adicionais via AppArmor que dificultam o caminho padrão do ataque, mas o kernel permanece vulnerável sem a atualização aplicada.
O maior risco ocorre em servidores legados ou ambientes cuja atualização depende de longas janelas de manutenção, permitindo que vulnerabilidades conhecidas permaneçam exploráveis por semanas ou meses após a publicação das correções.
Grande parte dos ataques modernos ocorre em várias etapas. Inicialmente, o invasor obtém algum tipo de acesso limitado por meio de credenciais comprometidas, aplicações vulneráveis ou configurações inadequadas. Em seguida, procura mecanismos que permitam ampliar seus privilégios dentro do sistema. É justamente nesse segundo estágio que vulnerabilidades como Pedit COW e DirtyClone se tornam relevantes.
Mesmo que um atacante consiga apenas acesso a uma conta comum, a existência de uma vulnerabilidade de escalonamento de privilégios pode permitir que ele assuma controle total do servidor, comprometendo aplicações, bancos de dados e serviços críticos.
Outro fator de preocupação é a rapidez com que provas de conceito foram publicadas após a divulgação. Embora esses materiais tenham finalidade acadêmica e auxiliem fabricantes na validação das correções, também reduzem o tempo disponível para que administradores realizem atualizações. Além disso, o fato de ambas as técnicas não deixarem rastros em disco — enquanto ferramentas como tripwire voltam com resultado limpo — evidencia que soluções baseadas exclusivamente na verificação de arquivos não são suficientes para detectar essas formas de exploração.
A principal defesa continua sendo uma política consistente de atualização do sistema operacional. A correção para o DirtyClone foi incorporada ao kernel Linux na versão 7.1-rc5, e Debian, Ubuntu e SUSE já publicaram atualizações. Para quem não puder atualizar imediatamente, é possível desativar a criação de namespaces sem privilégios como medida temporária: no Debian e Ubuntu, use o parâmetro kernel.unprivileged_userns_clone=0; no RHEL, use user.max_user_namespaces=0. Atenção: essa medida pode impactar containers sem root e alguns ambientes de desenvolvimento.
Além da atualização, é recomendável adotar as seguintes boas práticas — especialmente em ambientes gerenciados por equipes especializadas de infraestrutura:
A descoberta da Pedit COW e da DirtyClone reforça que segurança não depende apenas da instalação inicial de um servidor. O cenário de ameaças evolui continuamente, exigindo acompanhamento permanente das atualizações disponibilizadas pelos desenvolvedores do kernel Linux e pelas distribuições utilizadas.
Uma estratégia eficiente de gestão de vulnerabilidades envolve monitoramento constante, identificação rápida de novas falhas, avaliação dos riscos para o ambiente corporativo, aplicação de patches, testes de estabilidade e documentação das mudanças realizadas. Soluções de monitoramento comportamental são especialmente relevantes para falhas como essas, que não deixam rastros em disco e exigem detecção em tempo real para limitar o impacto de uma eventual exploração.
Empresas que utilizam ambientes cloud também devem acompanhar as recomendações de seus provedores e garantir que máquinas virtuais, containers e servidores dedicados permaneçam alinhados às versões mais recentes e seguras do sistema operacional.
As vulnerabilidades Pedit COW (CVE-2026-46331) e DirtyClone (CVE-2026-43503, gravidade 8.8/10) demonstram que, mesmo após anos de evolução do kernel Linux, pesquisadores continuam identificando novas formas de explorar condições de corrida relacionadas ao gerenciamento de memória. Embora não representem uma ameaça de exploração remota direta, ambas evidenciam como um acesso inicialmente limitado pode evoluir para o controle total de um servidor — e como ataques sofisticados conseguem agir sem deixar rastros nas ferramentas de auditoria convencionais.
A boa notícia é que organizações que mantêm processos maduros de atualização, monitoramento e gestão de vulnerabilidades conseguem reduzir significativamente sua exposição a esse tipo de risco. Manter o kernel atualizado para a versão 7.1-rc5 ou superior, aplicar os patches de segurança já disponíveis nas principais distribuições, restringir privilégios administrativos e monitorar comportamentos anômalos em tempo real são práticas essenciais para preservar a integridade dos ambientes corporativos.
Para empresas que operam servidores Linux em produção, especialmente em ambientes de nuvem, contar com uma infraestrutura bem administrada faz toda a diferença. A MACROMIND oferece Instâncias Cloud, Monitoramento e Gerenciamento de Serviços, Backup de Instâncias, Hospedagem de Sites e Consultoria Cloud — uma infraestrutura gerenciada que mantém seus servidores protegidos, atualizados e com resposta rápida a novas ameaças. Entre em contato e saiba como a MACROMIND pode proteger sua operação.
As vulnerabilidades Pedit COW (CVE-2026-46331) e DirtyClone (CVE-2026-43503) afetam distribuições Linux amplamente utilizadas: Debian (versões 11 e 12 ainda sem correção para Pedit COW), Ubuntu (versões 18.04 até 26.04), Fedora e Red Hat Enterprise Linux (RHEL 8, 9 e 10). O Ubuntu 24.04 e versões mais recentes possuem restrições adicionais via AppArmor que dificultam a exploração, mas o kernel permanece vulnerável sem a atualização aplicada.
A correção definitiva é instalar o kernel Linux 7.1-rc5 ou superior e reiniciar o sistema. Debian, Ubuntu e SUSE já publicaram atualizações de segurança. Para quem não puder atualizar imediatamente, a mitigação temporária é desativar a criação de namespaces sem privilégios: no Debian e Ubuntu, use o parâmetro kernel.unprivileged_userns_clone=0; no RHEL, use user.max_user_namespaces=0. Atenção: essa medida pode impactar containers sem root e ambientes de desenvolvimento.
Essa é justamente a característica mais preocupante dessas falhas: nenhuma das duas deixa rastros em disco. Ferramentas tradicionais de verificação de integridade, como tripwire e aide, analisam arquivos armazenados — mas os ataques operam apenas na memória. Isso significa que essas ferramentas retornam resultado limpo mesmo com o servidor comprometido. A detecção requer soluções de monitoramento comportamental capazes de identificar anomalias em tempo real, como tentativas de escalada de privilégios e comportamentos inesperados de processos privilegiados.