CEVIU Logo
Voltar
Vulnerabilidade GhostLock de 15 anos no Kernel Linux permite acesso root e escape de container

Alerta Crítico: Falha GhostLock no Kernel Linux Expõe Sistemas a Acesso Root e Escape de Container

Aprofundamento CEVIU

Aprofundamento

A vulnerabilidade GhostLock (CVE-2026-43499), que permaneceu dormente no kernel Linux por 15 anos, é um clássico ataque de "use-after-free" localizado no subsistema rtmutex. Especificamente, a falha reside na função remove_waiter(), onde o campo pi_blocked_on de uma tarefa incorreta é limpo durante operações de futex de herança de prioridade (PI). Essa manipulação cria um ponteiro órfão para uma estrutura rt_mutex_waiter alocada na pilha, que se torna inválida após o retorno para o espaço do usuário. Explorando uma dependência cíclica entre threads e variáveis futex, atacantes conseguem forçar um caminho de rollback que invoca remove_waiter() incorretamente, resultando em referências inválidas à memória da pilha liberada.

A cadeia de exploração para acesso root e escape de container é sofisticada. Ela combina técnicas para desviar do Kernel Address Space Layout Randomization (KASLR) via ataques de temporização de prefetch, utiliza regiões de memória CPU Entry Area (CEA) para posicionamento de memória do kernel previsível e manipula tabelas de ponteiros de função, como inet6_protos. Ao sobrescrever o manipulador de protocolo IPv6 UDP, o invasor redireciona a execução para seu código. A etapa final, apelidada de "DirtyMode", modifica bits de permissão de entradas sensíveis do sysctl, como /proc/sys/kernel/core_pattern, permitindo a execução de binários arbitrários com privilégios de root. Esta é a mais recente de uma série de vulnerabilidades críticas no kernel Linux que o CEVIU News vem acompanhando de perto nas últimas semanas, incluindo a "Bad Epoll" (7 de julho de 2026), Januscape (8 de julho de 2026) e "DirtyClone" (1 de julho de 2026).

O que mudou

A GhostLock evoluiu de uma falha obscura e indetectada, presente em versões do kernel Linux desde 2.6.39 (lançada em 2011), para uma ameaça cibernética com um exploit de alta confiabilidade. Embora a vulnerabilidade tenha sido corrigida em abril de 2026, sua exploração pública foi demonstrada no kernelCTF do Google, provando sua eficácia e viabilidade. O que antes era um bug latente e desconhecido, agora se materializa como um vetor de ataque capaz de render mais de US$ 92.000 em recompensas.

Por que isso importa

A GhostLock é uma preocupação crítica para qualquer organização que utilize Linux, especialmente em ambientes de nuvem, contêineres e hospedagem compartilhada. Sua capacidade de permitir escape de contêineres e escalonamento para acesso root sem a necessidade de privilégios elevados ou namespaces, torna-a uma das vulnerabilidades mais impactantes descobertas nos últimos anos. A longevidade da falha, que existiu por 15 anos antes de ser encontrada e explorada, sublinha o desafio contínuo na segurança de componentes de software de código-fonte aberto e a importância de auditorias de código rigorosas. A alta confiabilidade do exploit, de 97%, significa que a exploração não é teórica, mas uma realidade iminente para sistemas não corrigidos.

Linha do tempo

  1. Divulgada a falha CIFSwitch no Linux, permitindo acesso root local.

  2. Reportada falha crítica no interpretador BPF do kernel Linux.

  3. Divulgada vulnerabilidade de um caractere no subsistema nf_tables do Kernel Linux.

  4. Detalhada a vulnerabilidade 'DirtyClone' (CVE-2026-43503) no kernel Linux.

  5. Publicado exploit de Prova de Conceito para a vulnerabilidade 'Bad Epoll' no Linux.

  6. Descoberta a falha 'Januscape' no KVM do Linux, com 16 anos de existência.

  7. Revelada a vulnerabilidade crítica GhostLock (CVE-2026-43499) no kernel Linux.

Perguntas frequentes

O que é a vulnerabilidade GhostLock no kernel Linux?

GhostLock (CVE-2026-43499) é uma falha crítica de "use-after-free" no subsistema rtmutex do kernel Linux. Ela permite que um atacante obtenha acesso quase arbitrário de escrita no kernel, levando a uma escalação de privilégios para root e, principalmente, a um escape de contêiner para o sistema host sem a necessidade de privilégios elevados.

Como a GhostLock consegue bypassar as defesas do sistema?

A GhostLock utiliza técnicas avançadas para bypassar defesas como o KASLR por meio de ataques de temporização de prefetch. Ela sequestra o manipulador IPv6 inet6_protos para controlar a execução e modifica as permissões de core_pattern para alcançar acesso root, garantindo uma alta confiabilidade de exploração.

Quais sistemas são afetados pela GhostLock?

A vulnerabilidade GhostLock afeta todas as distribuições Linux que executam kernels desde a versão 2.6.39 (lançada em 2011) até a versão 7.1, a menos que tenham sido corrigidas. Ambientes de contêineres são particularmente vulneráveis, pois a falha permite o escape para o sistema host.

O que devo fazer para proteger meus sistemas contra a GhostLock?

É fundamental que os administradores de sistemas atualizem seus kernels Linux imediatamente para as versões corrigidas. Medidas adicionais de defesa em camadas, como habilitar RANDOMIZE_KSTACK_OFFSET e STATIC_USERMODE_HELPER, são recomendadas, mas não substituem a aplicação urgente da correção oficial.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
09 de julho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser