Como a falha funciona
Pesquisadores da Exodus Intelligence publicaram, em 8 de junho de 2026, um exploit funcional para a vulnerabilidade CVE-2026-23111 no subsistema nf_tables do kernel Linux. A falha é um use-after-free causado por um único caractere invertido na verificação de código, que permite a um usuário local sem privilégios escalar para root e escapar de containers. O erro foi corrigido upstream em 5 de fevereiro de 2026 com uma única linha de código.
O pesquisador Oliver Sieber, da Exodus Intelligence, encontrou o bug no início de 2025 e encadeou a exploração para obter root local completo. O exploit aciona o use-after-free, contorna as proteções de memória do kernel e assume o controle da execução para se conceder privilégios de root e quebrar o namespace do container. A demonstração foi feita com sucesso no Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS e Ubuntu 24.04 LTS.
Distribuições afetadas
A falha exige duas condições: o subsistema nf_tables ativo e o suporte a user namespaces sem privilégio — ambos habilitados por padrão na maioria das distribuições desktop e em muitos servidores. Ubuntu classificou a vulnerabilidade como CVSS 7.8 (alta). Não há vetor remoto: o atacante precisa de acesso local, como um shell de baixo privilégio, um container comprometido ou uma conta de serviço.
| Distribuição | Status do patch |
|---|---|
| Ubuntu 22.04 LTS | Corrigido |
| Ubuntu 24.04 LTS | Corrigido |
| Ubuntu 25.10 | Corrigido |
| Debian Bookworm | Corrigido |
| Debian Trixie | Corrigido |
| Debian Bullseye LTS | Backport 6.1 disponível |
| RHEL 10 | Sob avaliação |
Exploits públicos e cronologia
A FuzzingLabs publicou uma reprodução independente do bug em 16 de abril de 2026, antes mesmo da análise detalhada da Exodus. A equipe usou a falha no Pwn2Own Berlin 2026 contra o RHEL 10, construindo um exploit de root por uma rota diferente. A técnica agora está documentada em múltiplas plataformas.
- 5 de fevereiro de 2026 — Patch upstream no kernel Linux
- 16 de abril de 2026 — FuzzingLabs publica exploit independente
- 8 de junho de 2026 — Exodus Intelligence libera análise técnica completa
Embora não haja relatos de exploração na natureza por grupos de ameaças, o fato de exploits públicos circularem desde abril amplia a janela de risco. A CISA tem adicionado falhas Linux ao seu catálogo de exploits conhecidos com frequência crescente.
O que fazer agora
A prioridade é atualizar o kernel e reiniciar os sistemas. Verifique o advisory da sua distribuição para confirmar se o pacote instalado inclui o patch de 5 de fevereiro. Em ambientes com containers, reforce que workloads não confiáveis não podem criar user namespaces — essa restrição bloqueia o caminho do exploit independentemente do patch. Como destacado em análises recentes de falhas de escalação no kernel, a onda de LPEs no Linux está ligada ao uso de ferramentas de IA na pesquisa de segurança e ao patch-diffing acelerado — endurecer configurações padrão continua sendo a defesa mais eficaz.