Uma nova vulnerabilidade crítica no kernel do Linux acendeu o alerta entre administradores de sistemas e profissionais de segurança da informação. Identificada como CVE-2026-46331 e apelidada de “pedit COW”, a falha permite que um usuário local sem privilégios obtenha acesso de administrador (root) sem alterar qualquer arquivo armazenado no disco, dificultando sua detecção por ferramentas convencionais de monitoramento.
O exploit explora uma vulnerabilidade no subsistema de traffic control (tc) do kernel Linux, especificamente na ação act_pedit, utilizada para editar cabeçalhos de pacotes de rede. Em vez de modificar arquivos permanentes, o ataque corrompe apenas a cópia em memória (page cache) de binários com privilégios elevados, como o /bin/su, permitindo a execução de código com permissões de root sem deixar evidências no sistema de arquivos.
Ataque dificulta a detecção
O aspecto mais preocupante da vulnerabilidade é que ela não altera os arquivos armazenados em disco. Dessa forma, verificações tradicionais de integridade baseadas em hashes ou comparação de arquivos continuam indicando que o sistema está íntegro, mesmo enquanto o binário carregado na memória foi comprometido.
Esse comportamento torna a falha especialmente perigosa em ambientes corporativos que dependem de ferramentas de monitoramento para identificar alterações não autorizadas em arquivos críticos.
Ambientes compartilhados estão entre os mais vulneráveis
Segundo os pesquisadores, o exploit exige que o invasor já possua acesso local ao sistema, mas não requer privilégios administrativos prévios.
O ataque depende principalmente de duas condições:
- o módulo act_pedit estar disponível ou carregado no kernel;
- namespaces de usuários sem privilégios estarem habilitados, permitindo a obtenção da capacidade CAP_NET_ADMIN dentro do namespace.
Essas configurações são comuns em servidores compartilhados, ambientes de CI/CD, clusters Kubernetes, laboratórios de pesquisa, plataformas de hospedagem e outros sistemas onde diferentes usuários executam código na mesma infraestrutura.
Distribuições afetadas
Os testes publicados demonstram exploração bem-sucedida em distribuições como RHEL 10 e Debian 13 (Trixie). Também há relatos de vulnerabilidade em versões suportadas do Ubuntu, embora versões mais recentes contem com restrições adicionais via AppArmor que dificultam a exploração. A Red Hat, Debian e outros fornecedores já trabalham na distribuição de atualizações de segurança para corrigir o problema.
Atualização do kernel é a principal recomendação
Especialistas recomendam que administradores instalem imediatamente as versões corrigidas do kernel disponibilizadas por suas distribuições Linux. Após a atualização, é necessário reiniciar o sistema para que a correção passe a valer.
Enquanto a atualização não puder ser aplicada, medidas de mitigação incluem restringir o carregamento do módulo act_pedit e desabilitar namespaces de usuários sem privilégios sempre que possível, reduzindo significativamente a superfície de ataque.
A descoberta reforça a necessidade de manter o kernel sempre atualizado, especialmente em ambientes multiusuário e infraestruturas críticas, onde vulnerabilidades de escalada de privilégios podem comprometer servidores inteiros mesmo após um acesso inicial limitado.
