A CISA adicionou duas vulnerabilidades com exploração ativa ao seu catálogo KEV na última segunda-feira (2): uma falha de escalação de privilégios no kernel Linux (CVE-2022-0492) e um overflow de inteiros no Android (CVE-2025-48595). Agências federais dos EUA têm até 5 de junho para aplicar as correções sob a diretriz BOD 22-01.
O que muda com o alerta
A inclusão no Known Exploited Vulnerabilities Catalog significa que a CISA confirmou exploração ativa na natureza. Para agências federais, a diretriz BOD 22-01 impõe prazo obrigatório de correção: 5 de junho de 2026. Empresas de infraestrutura crítica e grandes organizações também são incentivadas a tratar as falhas com a mesma urgência.
A vulnerabilidade do Android, CVE-2025-48595, já havia sido divulgada pelo Google no boletim de segurança de junho. Trata-se de um integer overflow no framework do sistema que permite escalação de privilégios sem interação do usuário, afetando as versões 14 a 16 do Android. O Google indicou que a falha pode estar sob exploração direcionada limitada.
Falha do kernel permite escape
O CVE-2022-0492 é uma vulnerabilidade de escalação de privilégios no subsistema cgroups v1 do kernel Linux, especificamente na função cgroup_release_agent_write(). Um atacante local pode burlar o isolamento de namespaces, escalar privilégios e escapar de um container para obter acesso root no host.
O risco principal atinge ambientes containerizados que ainda utilizam cgroups v1 com capabilities elevadas. Análises publicadas pela Aqua Security e pela Unit42 da Palo Alto Networks detalham como o exploit realiza uma sobrescrita controlada de 4 bytes no cache de páginas do kernel, corrompendo dados sensíveis gerenciados pelo kernel e permitindo que o atacante escale seu processo para UID 0.
Versões afetadas e correções
| Parâmetro | CVE-2022-0492 (Linux) | CVE-2025-48595 (Android) |
|---|---|---|
| Tipo | Escalação de privilégios | Integer overflow |
| Severidade | Alta | Alta |
| Versões afetadas | Kernel 2.6 a 5.17 | Android 14 a 16 |
| Correção | Kernels 5.15.20+, 5.16.6+, 5.17-rc3+ | Patch level 2026-06-01/05 |
| Interação do usuário | Acesso local necessário | Nenhuma |
| Exploração ativa | Confirmada pela CISA | Exploração direcionada limitada |
O que fazer agora
Para ambientes Linux, verifique se os kernels estão atualizados com as versões corrigidas (5.15.20+, 5.16.6+ ou posteriores). Se possível, migre de cgroups v1 para cgroups v2, que não possui a função vulnerável. Em ambientes containerizados, restrinja capabilities concedidas aos containers e aplique perfis seccomp restritivos.
Para dispositivos Android, verifique se o patch de segurança de junho de 2026 (nível 2026-06-01 ou 2026-06-05) foi aplicado. Dispositivos que não recebem atualizações do fabricante devem ser considerados expostos.
Organizações que utilizam kernel Linux em infraestrutura crítica devem priorizar a correção do CVE-2022-0492 mesmo em sistemas aparentemente isolados, dado que a falha requer apenas acesso local para exploração.