A CISA incluiu uma vulnerabilidade zero day do kernel Linux em seu catálogo de falhas exploradas, após confirmar uso ativo da brecha em ataques.
A falha é rastreada como CVE-2026-31431 e recebeu o apelido de “Copy Fail”. O problema tem pontuação CVSS 7.8, classificada como alta, e afeta o subsistema criptográfico AF_ALG do kernel.
A falha está no módulo algif_aead, onde um erro lógico causa tratamento inadequado de memória durante operações locais. Na prática, a vulnerabilidade pode permitir que um usuário local sem privilégios eleve acesso até root.
Isso torna o caso especialmente sensível em servidores compartilhados, ambientes corporativos e sistemas usados em cargas de trabalho críticas.
A falha teria origem em mudanças feitas ao longo de vários anos no kernel, incluindo alterações de 2011, 2015 e 2017 que, isoladamente, não pareciam perigosas. O impacto atinge distribuições Linux com kernels construídos desde 2017, incluindo Ubuntu, Debian, Fedora, Arch Linux, Amazon Linux, Red Hat Enterprise Linux e SUSE.
O ataque explora a interação entre a interface de sockets AF_ALG, a chamada de sistema splice() e falhas no tratamento de erro durante operações de cópia. O resultado pode ser uma corrupção controlada de dados gerenciados pelo kernel.
O risco aumenta em ambientes conteinerizados, já que a exploração não exige acesso root dentro do contêiner, módulos adicionais do kernel ou conectividade de rede. Kubernetes, runners de CI e ambientes Docker podem ser afetados caso executem kernels vulneráveis.
A CISA determinou prazo de correção até 15 de maio de 2026 para agências civis federais dos Estados Unidos. Correções estão disponíveis nas versões 6.18.22, 6.19.12 e 7.0 do kernel Linux.
