Pesquisadores da Nebula Security divulgaram em julho de 2026 o GhostLock (CVE-2026-43499), uma falha no kernel Linux presente há 15 anos que permite a qualquer usuário local obter acesso root e escapar de containers. O bug afeta praticamente todas as distribuições desde 2011 e possui um exploit funcional de 97% de confiabilidade publicado pela própria equipe.

O que é o GhostLock

O GhostLock é uma vulnerabilidade do tipo use-after-free localizada no subsistema de futex com herança de prioridade do kernel Linux, código presente desde a versão 2.6.39, lançada em 2011. O Google premiou a Nebula em 92 337 dólares pelo achado através do programa kernelCTF. O CVSS é 7,8 (alto), porque o atacante precisa já estar logado na máquina.

Atributo Detalhe
CVE CVE-2026-43499
Tipo Use-after-free em futex (escalonamento de privilégio local)
Desde Kernel 2.6.39 (2011)
CVSS 7,8 — alto
Correção Commit 3bfdc63936dd (abril de 2026)
Recompensa US$ 92 337 (kernelCTF, Google)

Como o exploit funciona

O kernel tem um mecanismo para impedir que uma tarefa urgente fique presa atrás de uma trivial: a herança de prioridade dos futex. Quando uma operação de lock atinge um beco sem saída e precisa retroceder, uma rotina de limpeza executa no momento errado e apaga o registro da tarefa incorreta. O kernel passa então a confiar em um ponteiro que aponta para memória já liberada e reutilizada.

Esse ponteiro obsoleto é a porta de entrada. A equipe da Nebula encadeou etapas adicionais para enganar o kernel e fazê-lo executar código próprio com privilégios de root. Nos testes, a escalonagem levou cerca de cinco segundos. O mesmo exploit também abre escape de container, o que agrava o risco em ambientes de nuvem multi-inquilino.

Risco real e contextos críticos

Não há evidência de uso na natureza por enquanto, mas a Nebula publicou código de prova de conceito funcional, o que reduz a barreira para qualquer atacante. O perigo é maior em servidores compartilhados, instâncias de nuvem, containers e runners de CI/CD — locais onde um invasor consegue estabelecer a presença local que o bug exige.

O GhostLock ainda é a segunda metade de uma cadeia batizada de IonStack. A primeira parte, CVE-2026-10702, é uma falha no Firefox que executa código dentro do navegador e escapa da sandbox; o GhostLock completa o caminho até o root. A Nebula já demonstrou a cadeia inteira.

Como se proteger

Não existe workaround completo, porque as operações que disparam o bug são rotina para qualquer processo local. A correção é instalar o kernel atual da sua distribuição, e não apenas o primeiro patch lançado.

  • Verifique o kernel e instale a versão corrigida (commit 3bfdc63936dd); o patch original introduziu um bug de crash separado (CVE-2026-53166), então prefira o build mais recente.
  • Priorize hosts compartilhados: servidores multi-inquilino, containers, runners de CI e instâncias de nuvem.
  • Atene mitigações: RANDOMIZE_KSTACK_OFFSET e STATIC_USERMODE_HELPER dificultam o exploit, mas não corrigem o bug.
  • Confirme a versão no advisory da sua distribuição. O Ubuntu, por exemplo, já havia corrigido lançamentos recentes, mas em julho de 2026 ainda listava 24.04, 22.04 e 20.04 LTS como vulneráveis ou em andamento.

Fontes