🔎 O que é?
A Copy Fail (CVE-2026-31431) é uma vulnerabilidade no kernel Linux que permite a escalada de privilégios locais até root, explorando um erro lógico no subsistema criptográfico (algif_aead).
A origem do problema remonta a uma alteração introduzida há vários anos, associada a uma otimização “in-place” no processamento de dados criptográficos. Em determinados cenários, esta abordagem permite que os buffers de origem e destino referenciem áreas de memória distintas, resultando em corrupção de dados.
A correção oficial passou pela substituição desta lógica por um modelo “out-of-place”, eliminando o risco associado.
A vulnerabilidade foi publicada oficialmente a 22 de abril de 2026, tendo ganho maior visibilidade nos dias seguintes com a divulgação de detalhes técnicos e provas de conceito.
⚠️ O que afeta?
Esta vulnerabilidade afeta um vasto conjunto de sistemas Linux, incluindo praticamente todas as distribuições modernas baseadas em kernels ≥ 4.14.
O problema encontra-se presente em múltiplas versões do kernel até às releases corrigidas, abrangendo tanto sistemas legacy como versões mais recentes ainda não atualizadas.
O impacto é particularmente relevante em ambientes multi-utilizador, como alojamento partilhado, servidores VPS e infraestruturas containerizadas.
🧠 Impacto técnico
A exploração da Copy Fail permite a um utilizador com acesso local modificar dados críticos em memória (page cache), recorrendo a chamadas legítimas do kernel, nomeadamente através da interface AF_ALG.
Esta manipulação permite alterar o comportamento de binários privilegiados sem modificar diretamente os ficheiros em disco, contornando mecanismos tradicionais de integridade.
O resultado é a obtenção de privilégios root de forma consistente.
Embora não seja explorável remotamente por si só, esta vulnerabilidade é particularmente crítica em ambientes multi-utilizador ou isolados (ex: containers), onde pode ser utilizada para elevação de privilégios ou escape para o sistema host.
Após a divulgação pública, foram também publicados proof-of-concepts funcionais, aumentando o risco de exploração.
🛡️ Mitigação da Vulnerabilidade
A mitigação definitiva passa pela atualização do kernel para versões que incluam a correção de segurança.
Após a divulgação pública, os principais fornecedores começaram a disponibilizar patches de forma faseada, incluindo versões corrigidas como 6.18.22, 6.19.12 e 7.0.
É fundamental acompanhar as atualizações específicas de cada distribuição e aplicar as mesmas assim que disponíveis.
Na ausência imediata de patches, podem ser consideradas medidas temporárias, como a desativação do módulo algif_aead, restrições ao uso da interface AF_ALG ou reforço do isolamento em ambientes multi-tenant.
Estas medidas devem ser vistas apenas como mitigação temporária, não substituindo a aplicação das correções oficiais.
🏗️ O que já fizemos
Após a divulgação inicial da vulnerabilidade, iniciámos a monitorização ativa de advisories de segurança e fornecedores relevantes, incluindo CloudLinux.
Com a divulgação pública e disponibilização de detalhes técnicos, foi ativado o nosso processo interno de resposta a incidentes de segurança.
Neste contexto foi realizada a avaliação do impacto potencial na nossa infra-estrutura, tendo sido validadas as versões de kernel em uso nos ambientes CloudLinux e outros sistemas operativos utilizados nos servidores geridos pela nossa equipa técnica, estando a ser acompanhado o processo de disponibilização de patchs por parte dos fornecedores.
Neste momento, à medida que as atualizações estão a ser disponibilizadas de forma estável, estamos a proceder à sua aplicação progressiva, garantindo a continuidade e estabilidade dos serviços.
Em paralelo, estão a ser reforçados os mecanismos de monitorização e isolamento, especialmente em ambientes partilhados.
📅 Linha de Tempo
A vulnerabilidade Copy Fail seguiu um processo de divulgação responsável ao longo de várias semanas, envolvendo a equipa de segurança do kernel Linux e os principais maintainers, antes da sua divulgação pública no final de abril de 2026.
- 23/03/2026 – Vulnerabilidade reportada à equipa de segurança do kernel Linux
- 24/03/2026 – Confirmação inicial e reconhecimento do problema pelos maintainers
- 25/03/2026 – Propostas de correção submetidas e processo de revisão iniciado
- 01/04/2026 – Patch integrado no repositório principal (mainline) do kernel Linux
- 22/04/2026 – Atribuição oficial do identificador CVE-2026-31431
- 29/04/2026 – Divulgação pública da vulnerabilidade e publicação de detalhes técnicos (https://copy.fail/)
Após esta divulgação, os fornecedores de distribuições começaram a disponibilizar atualizações de segurança de forma progressiva.
✅ Estado atual
🟡 Mitigação em curso
Neste momento, a WebTuga encontra-se a implementar ativamente medidas de mitigação para a vulnerabilidade Copy Fail (CVE-2026-31431), enquanto acompanha a disponibilização de patches oficiais por parte dos fornecedores.
Na ausência inicial de correções disponíveis para todas as distribuições, foi desenvolvido internamente um workaround temporário, que consiste na desativação do módulo vulnerável (algif_aead) durante o arranque do sistema, através de parâmetros de kernel.
Esta abordagem foi previamente testada em ambientes CloudLinux 8 e 9, tendo demonstrado eficácia na mitigação da vulnerabilidade, sem impacto funcional imediato nos sistemas.
Adicionalmente, esta solução foi validada junto do suporte oficial da CloudLinux, que confirmou que o workaround mitiga efetivamente o problema e que não é expectável existir impacto negativo no funcionamento do sistema operativo.
Esta mesma abordagem foi posteriormente refletida nas recomendações públicas do próprio CloudLinux, reforçando a sua adequação como medida temporária até aplicação de patches definitivos.
Atualmente, estamos a aplicar este workaround nos sistemas sob gestão da WebTuga de forma faseada, validando continuamente o impacto operacional em ambiente de produção, estando a nossa equipa técnica a acompanhar e preparar a aplicação dos patches oficiais assim que disponibilizados de forma estável.
Este processo está a ser conduzido com prioridade elevada, assegurando simultaneamente a mitigação do risco e a continuidade dos serviços.
🧾 Conclusão
A Copy Fail é uma vulnerabilidade relevante devido à sua simplicidade de exploração e impacto elevado, embora exija acesso local ao sistema.
Não constitui, por si só, um vetor de ataque remoto, mas pode ser utilizada em cenários de comprometimento prévio ou ambientes multi-utilizador.
A WebTuga encontra-se a implementar ativamente todas as medidas necessárias para mitigar esta vulnerabilidade.
Recomendamos aos clientes com infraestruturas externas ou não geridas que verifiquem as versões do seu kernel e apliquem as atualizações de segurança disponibilizadas pelos seus fornecedores com a maior brevidade possível.