🔎 O que é?
Foi divulgada publicamente a vulnerabilidade GhostLock (CVE-2026-43499), uma falha no kernel Linux que pode permitir a um utilizador local sem privilégios obter acesso root ao sistema.
A vulnerabilidade encontra-se relacionada com o mecanismo futex e o código de real-time mutexes do kernel Linux, utilizado em operações de sincronização entre processos.
Segundo a divulgação técnica, existe já uma demonstração pública de exploração completa, com elevada taxa de sucesso.
⚠️ O que afeta?
A GhostLock afeta kernels Linux com suporte a priority-inheritance futexes (CONFIG_FUTEX_PI), opção presente por defeito nas principais distribuições Linux.
O impacto é particularmente relevante em:
- Servidores multiutilizador
- Ambientes de alojamento partilhado
- Servidores VPS
- Sistemas com contas shell
- Ambientes onde um website comprometido possa executar código localmente
Embora seja uma vulnerabilidade local, num ambiente de alojamento partilhado um website comprometido pode servir como ponto de partida para a exploração.
🧠 Impacto técnico
A GhostLock resulta de uma condição use-after-free no código de gestão de locks do kernel Linux, no caminho de priority-inheritance futex.
Em determinadas condições, uma sequência específica de operações pode deixar um ponteiro inválido para memória entretanto libertada, permitindo que um atacante manipule estruturas internas do kernel.
Uma exploração bem-sucedida pode permitir:
- Escalada local de privilégios para root
- Compromisso completo do servidor
- Contorno de mecanismos de isolamento entre utilizadores
- Acesso a ficheiros, bases de dados e credenciais de outras contas
- Execução de código com privilégios máximos no sistema
🛡️ Mitigação da Vulnerabilidade
Não existe uma mitigação geral simples ou segura para esta vulnerabilidade.
O mecanismo afetado faz parte do funcionamento normal do kernel Linux e não pode ser desativado em runtime sem risco de impacto no sistema e nas aplicações.
A mitigação efetiva passa por:
- Atualização para um kernel corrigido disponibilizado pela distribuição Linux
- Aplicação de livepatch quando suportado
- Reinício do sistema após atualização de kernel, quando aplicável
Em ambientes específicos e controlados, políticas de seccomp podem reduzir a exposição a determinadas operações futex, mas esta não deve ser considerada uma mitigação geral para servidores de produção.
✅ Recomendações
Recomendamos aos clientes com servidores próprios ou não geridos que:
- Acompanhem os advisories da respetiva distribuição Linux
- Apliquem as atualizações de kernel assim que disponíveis
- Reiniciem o servidor após atualização, quando necessário
- Utilizem livepatching quando disponível
- Mantenham aplicações e CMS atualizados para reduzir o risco de comprometimento inicial
Clientes com serviços geridos pela WebTuga não necessitam de efetuar qualquer intervenção sobre a infraestrutura administrada pela nossa equipa técnica.
🧾 Conclusão
A GhostLock (CVE-2026-43499) é uma vulnerabilidade crítica de escalada local de privilégios no kernel Linux.
Apesar de exigir execução local, o risco é elevado em ambientes multiutilizador, uma vez que uma aplicação ou website previamente comprometido pode ser utilizado para obter privilégios root no servidor.
A aplicação de kernel corrigido ou livepatch oficial deve ser tratada com prioridade elevada em sistemas afetados.
Para mais informações:
- https://nvd.nist.gov/vuln/detail/CVE-2026-43499
- https://nebusec.ai/research/ionstack-part-2/

