Hack Alerta

Falha crítica no kernel Linux permite roubo de chaves SSH e senhas

Por Redação Hack Alerta Publicado em 16/05/2026 06:01 Vazamento de dados Tempo de leitura: 6 min

Falha crítica no kernel Linux (CVE-2026-46333) permite roubo de chaves SSH e senhas via race condition. PoC liberado aumenta risco de exploração.

Uma vulnerabilidade recém-divulgada no kernel Linux, rastreada como CVE-2026-46333 e apelidada de ssh-keysign-pwn, está gerando preocupações significativas na comunidade de segurança cibernética. A falha permite que atacantes locais acessem dados altamente sensíveis, incluindo chaves privadas SSH e hashes de senhas, em sistemas afetados.

Esta falha de segurança, que existe há mais de seis anos, explora uma condição de corrida (race condition) na lógica de controle de acesso do ptrace do kernel Linux. A descoberta foi amplificada pela liberação de um Proof of Concept (PoC) no GitHub, o que aumenta a probabilidade de exploração ativa em ambientes de produção.

Descoberta e escopo da vulnerabilidade

O problema origina-se na função __ptrace_may_access() do kernel Linux, responsável por restringir como os processos podem inspecionar ou interagir com outros processos. A falha está ligada às verificações de dumpability do kernel, que criam uma janela de oportunidade perigosa durante o encerramento de processos privilegiados.

Em termos técnicos, quando um processo privilegiado (como ssh-keysign ou chage) está sendo desligado, existe um curto intervalo onde seu contexto de memória é limpo (mm = NULL), mas seus descritores de arquivo abertos ainda existem. Durante essa lacuna, um atacante local não privilegiado pode explorar a falha usando pidfd_getfd() para roubar esses descritores de arquivo.

Isso efetivamente contorna as verificações de permissão pretendidas, permitindo acesso não autorizado a arquivos sensíveis. A falha afeta a maioria das distribuições Linux que executam kernels anteriores ao patch liberado em 14 de maio de 2026.

Mecanismo técnico: Race condition no ptrace

A exploração desta vulnerabilidade depende de uma condição de corrida precisa. O kernel falha em impor restrições de acesso adequadas durante o estado transitório de saída do processo. O flag dumpability, originalmente projetado para controlar dumps de núcleo, é reutilizado em verificações de ptrace, mesmo quando não faz mais sentido lógico.

Quando um processo sai, sua memória é liberada antes que seus descritores de arquivo sejam limpos. O kernel falha em impor restrições de acesso durante esse estado transitório, permitindo que atacantes contornem os limites de segurança. O PoC no GitHub demonstra exatamente como explorar essa condição de corrida em kernels anteriores ao commit 31e62c2ebbfd.

O PoC gera repetidamente processos de ataque que competem contra o caminho de saída de um assistente privilegiado, usando pidfd_getfd para capturar descritores de arquivo para arquivos de root antes que sejam fechados. De acordo com análises públicas, a exploração geralmente tem sucesso dentro de 100 a 2000 tentativas, tornando-a prática em sistemas reais.

Vetores de exploração e PoC

Duas vias principais de exploração foram destacadas pelos pesquisadores:

  • Alvo ssh-keysign: Para ler chaves privadas SSH de host de /etc/ssh/ssh_host_{ecdsa,ed25519,rsa}_key.
  • Alvo chage: Para ler /etc/shadow via um padrão semelhante de roubo de descritores de arquivo.

A liberação pública do PoC no GitHub aumenta significativamente a urgência para o patching, pois facilita a automação da exploração por atacantes mal-intencionados. A facilidade de execução torna esta uma ameaça imediata para sistemas Linux expostos a usuários locais não confiáveis.

Impacto operacional e riscos de segurança

Os pesquisadores de segurança, incluindo a Qualys, alertam que esta vulnerabilidade pode levar a consequências graves:

  • Roubo de chaves SSH privadas: Permite que atacantes se passem por sistemas ou usuários.
  • Ataques Man-in-the-Middle (MitM): Possibilidade de interceptação de tráfego até que as chaves comprometidas sejam rotacionadas.
  • Acesso de leitura completa ao /etc/shadow: Exposição de hashes de senhas para criptografia offline.
  • Movimento lateral potencial: Uso de credenciais roubadas para se mover através da infraestrutura.

Como as chaves SSH são frequentemente reutilizadas em vários ambientes, um único sistema comprometido pode se transformar em um acesso mais amplo à rede. A exposição de chaves privadas representa um risco de alto impacto que não pode ser ignorado, especialmente em ambientes de nuvem e corporativos onde o SSH serve como a espinha dorsal do acesso seguro.

Linhas do tempo e evolução do incidente

A falha foi relatada como existindo há mais de seis anos, o que sugere que muitas implantações de longo prazo podem estar expostas. A liberação recente do PoC e a divulgação pública marcaram um ponto de inflexão, transformando uma vulnerabilidade teórica em uma ameaça prática.

A comunidade de segurança tem monitorado o desenvolvimento, com a Qualys e outros pesquisadores fornecendo análises detalhadas. A liberação do PoC no GitHub indica que a exploração está madura o suficiente para ser utilizada por atacantes sem necessidade de desenvolvimento adicional complexo.

Medidas de mitigação recomendadas

As organizações devem agir imediatamente para reduzir o risco associado a esta vulnerabilidade:

  • Aplicar patches de kernel: Atualizar para as versões mais recentes que corrigem o CVE-2026-46333.
  • Rotacionar chaves SSH: Rotacionar todas as chaves SSH, especialmente em sistemas críticos.
  • Auditar acesso a arquivos sensíveis: Verificar o acesso a arquivos como /etc/shadow.
  • Monitorar chamadas de sistema: Monitorar o uso suspeito de ptrace ou chamadas de sistema relacionadas a pidfd.
  • Restringir acesso local: Restringir o acesso de usuários locais sempre que possível, pois a exploração requer presença local.

A aplicação de patches deve ser priorizada em sistemas que executam processos privilegiados como ssh-keysign ou chage. Além disso, a implementação de controles de acesso restritivos e monitoramento de comportamento de processos pode ajudar a detectar tentativas de exploração.

Perguntas frequentes

Qual é a severidade desta vulnerabilidade?
A severidade é crítica devido ao potencial de escalonamento de privilégios e roubo de credenciais sensíveis. O impacto direto em sistemas Linux amplamente utilizados aumenta a urgência da correção.

É necessário acesso root para explorar?
Não. A exploração requer acesso local não privilegiado, mas o resultado é o acesso a arquivos de root, efetivamente concedendo privilégios elevados.

Como saber se meu sistema está afetado?
Verifique a versão do kernel. Sistemas com kernels anteriores ao patch liberado em 14 de maio de 2026 estão vulneráveis. A maioria das distribuições Linux (Ubuntu, Debian, Arch Linux, CentOS, Raspberry Pi OS) pode estar afetada.

Existe mitigação temporária?
Além de restringir o acesso local, a rotação de chaves SSH e a auditoria de acesso a arquivos sensíveis são medidas mitigatórias importantes enquanto os patches não são aplicados.

Qual a relação com outras vulnerabilidades do kernel Linux?
Esta falha se soma a uma série de vulnerabilidades no kernel Linux em 2026, incluindo Dirty Pipe, io_uring UAF, Copy Fail, io_uring ZCRX Freelist, Dirty Frag e Fragnesia, indicando um período de alta atividade de descoberta de falhas na base do kernel.

Baseado em publicação original de Cyber Security News
Tags: #=linux #kernel #vulnerabilidade #ssh #cve #cibersegurança #linux-kernel #privilege-escalation #mitigação
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar