CEVIU Logo
Voltar
Como a Cloudflare respondeu à vulnerabilidade Linux “Copy Fail”
🛡️CEVIU Segurança da Informação

Como a Cloudflare respondeu à vulnerabilidade Linux “Copy Fail”

Aprofundamento CEVIU

Aprofundamento

A vulnerabilidade Copy Fail (CVE-2026-31431) explorava um defeito antigo no módulo algif_aead do kernel Linux, que permitia escrita fora dos limites de 4 bytes em páginas de cache de arquivos. Isso tornava possível alterar binários setuid, como /usr/bin/su, sem precisar de privilégios. O ataque funcionava porque o kernel, desde 2017, otimizara operações criptográficas in-place, mas sem validar limites de memória, um erro de projeto que só foi corrigido em 2026. A Cloudflare não dependeu apenas de patches: usou eBPF com bpf-lsm para bloquear binds de sockets AF_ALG a processos não autorizados, mantendo a funcionalidade legítima enquanto anulava o vetor de ataque. A detecção comportamental já identificava o padrão de exploração em minutos, sem assinaturas, por monitorar a cadeia de execução desde o script até a elevação de privilégio.

Essa resposta foi possível porque a Cloudflare já tinha infraestrutura de rastreamento em tempo real: prometheus-ebpf-exporter monitorava uso de AF_ALG em centenas de milhares de servidores, e o pipeline de reboot automático garantia que kernels corrigidos fossem implantados em semanas. O fato de não haver impacto aos clientes não foi sorte: foi resultado de anos de investimento em visibilidade de kernel, automação de patch e detecção baseada em comportamento, não em assinaturas. A mitigação com bpf-lsm foi tão precisa que nem precisou desativar o módulo, só bloquear chamadas de binaries não listados.

Por que isso importa

Empresas que operam em larga escala, especialmente em nuvem, não podem esperar por patches para se protegerem de vulnerabilidades de kernel. Copy Fail mostrou que mesmo com atualizações regulares, atrasos de backport podem deixar sistemas expostos por semanas. A Cloudflare provou que uma combinação de detecção comportamental, rastreamento de uso de API de kernel e mitigação com eBPF pode neutralizar ameaças sem downtime. Isso é um modelo para qualquer organização que gerencia milhares de servidores Linux: a segurança não é só patch, é visibilidade, controle de acesso em nível de kernel e automação. A lição é clara: quem confia só em atualizações de software está jogando com fogo.

Linha do tempo

  1. Kernel Linux otimiza operações criptográficas in-place no módulo algif_aead, removendo verificações de limite de memória.

  2. Vulnerabilidade Copy Fail (CVE-2026-31431) é divulgada publicamente, revelando o vetor de ataque via AF_ALG.

  3. Cloudflare completa mitigação com bpf-lsm e implanta kernels corrigidos em toda a frota, sem impacto a clientes.

Perguntas frequentes

O que é AF_ALG e por que ele é perigoso?

AF_ALG é uma interface do kernel Linux que permite processos sem privilégios usarem criptografia interna, como AES ou SHA. O problema é que o módulo algif_aead, usado por essa interface, tinha um defeito que permitia escrever 4 bytes além do limite de memória. Isso possibilitava modificar arquivos em cache, como binários setuid, e ganhar root sem senha. Não é um bug de rede, é um erro de manipulação de memória no núcleo do sistema.

Como o eBPF e o bpf-lsm ajudaram a conter a vulnerabilidade?

O bpf-lsm é um módulo do kernel que permite regras de segurança escritas em eBPF. A Cloudflare criou uma regra que bloqueava qualquer tentativa de bind() em sockets AF_ALG, exceto se o processo vinha de um binário previamente autorizado. Isso impediu o ataque sem desativar o módulo, evitando que serviços legítimos que usavam criptografia de kernel falhassem. Foi uma solução cirúrgica, sem reboot, baseada em identidade do processo, não em assinatura de malware.

Por que a detecção comportamental funcionou sem atualização de regras?

A detecção da Cloudflare observa padrões de execução em toda a frota. Ela não busca por hashes ou strings maliciosas. Em vez disso, ela identifica quando um script comum começa a usar o kernel criptográfico para manipular binários setuid, algo que nunca acontece em operações normais. Essa anomalia foi flagada automaticamente porque o padrão de execução era claramente fora do comportamento esperado, mesmo sem saber do CVE.

Por que a Cloudflare não simplesmente desativou o módulo algif_aead?

Porque alguns serviços internos dependem dele para criptografia de alto desempenho, como kTLS ou IPsec. Desativar o módulo quebraria esses serviços. Em vez disso, usaram bpf-lsm para permitir apenas os binários conhecidos que usam AF_ALG. Isso manteve a funcionalidade necessária e bloqueou o ataque. Testes em staging confirmaram que só um serviço legítimo o usava, o que tornou a mitigação segura.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
24 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Assinar newsletterVer mais de CEVIU Segurança da Informação
Conteúdo curado diariamenteDiversas categoriasCancele quando quiser