Uma vulnerabilidade de alta severidade foi descoberta no kernel Linux, identificada como CVE-2026-46333 e apelidada pela comunidade de segurança de “ssh-keysign-pwn”. A falha, explorada por uma condição de corrida (race condition) no subsistema ptrace, permite que um atacante local não privilegiado leia arquivos sensíveis protegidos pelo root, incluindo chaves privadas de host SSH e o banco de dados de senhas (/etc/shadow).

A correção já foi integrada às versões estáveis mais recentes do kernel, mas administradores de sistemas devem agir imediatamente para aplicar os patches ou mitigações temporárias.

O que é a vulnerabilidade CVE-2026-46333?

A falha reside na lógica de verificação de acesso do ptrace, especificamente na função get_dumpable(). Durante o processo de encerramento de um tarefa (do_exit), existe uma janela de tempo crítica entre o momento em que o descritor de memória (mm) da tarefa é desanexado e o momento em que sua tabela de descritores de arquivo é fechada.

Nessa janela estreita, a verificação de segurança “dumpable” é ignorada porque o ponteiro de memória já é NULL. Um processo não privilegiado pode explorar isso usando a chamada de sistema pidfd_getfd(2) (introduzida no Linux 5.6) para clonar descritores de arquivos abertos de um processo privilegiado que está saindo.

Impacto: Roubo de credenciais sem privilégios de root

Diferente de muitas escaladas de privilégio que buscam obter acesso root completo, o exploit público para o CVE-2026-46333 foca no vazamento de informações críticas. Os alvos principais são binários SUID que abrem arquivos sensíveis durante sua execução normal:

1. ssh-keysign: Binário usado para autenticação baseada em host SSH. O exploit permite ler as chaves privadas do host (/etc/ssh/ssh_host_*_key).
2. chage: Utilitário de gerenciamento de senhas. O exploit permite ler o arquivo /etc/shadow, contendo hashes de senhas de todos os usuários do sistema.

A equipe de segurança da Qualys reportou a falha, e provas de conceito (PoC) funcionais já foram divulgadas publicamente, aumentando urgentemente a necessidade de patching.

Sistemas afetados

A vulnerabilidade afeta uma ampla gama de distribuições Linux que utilizam kernels modernos (pós-2017). Confirmações de afetividade incluem:

• AlmaLinux / RHEL / CentOS: Versões 8, 9 e 10 são afetadas. A versão 8 não é explorável pelo PoC atual devido à ausência de pidfd_getfd, mas a falha subjacente existe.
• CloudLinux: Versões 8 LTS, 9 e 10 são criticamente afetadas e exploráveis. CloudLinux 7 não é afetado.
• Debian: Atualizações de segurança foram emitidas (DSA 6275-1).
• Outras Distribuições: Qualquer distribuição executando kernels Linux das séries 5.15, 6.1, 6.6, 6.12, 6.18 ou 7.0 deve ser considerada vulnerável até que o patch seja aplicado.

Como corrigir: Atualização do Kernel

A solução definitiva é a atualização do kernel Linux para uma versão que contenha o commit de correção 31e62c2ebbfd.

• AlmaLinux/RHEL: Os kernels corrigidos estão disponíveis nos repositórios de teste (testing) e serão promovidos brevemente para produção. Para AlmaLinux 9, a versão alvo é kernel-5.14.0-611.54.6.el9_7 .
• Debian: Execute apt update && apt upgrade linux-image-* para receber a correção via atualização de segurança padrão.
• Kernel Estável: As versões 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207 e 5.10.256 já incluem o patch.

Após a atualização, um reinício do sistema é obrigatório para carregar o novo kernel.

Mitigações temporárias (se não puder reiniciar imediatamente)

Se um reinício imediato não for possível, aplique as seguintes mitigações para bloquear a exploração:

1. Restringir o Ptrace (Recomendado) Defina o parâmetro kernel.yama.ptrace_scope para 2 ou 3. Isso impede que usuários não privilegiados anexem processos via ptrace.

sudo sysctl -w kernel.yama.ptrace_scope=3
echo 'kernel.yama.ptrace_scope = 3' | sudo tee /etc/sysctl.d/99-ssh-keysign-pwn.conf

Nota: Isso pode quebrar ferramentas de depuração como gdb ou strace para usuários comuns

2. Remover o Bit SUID dos Binários Alvo Como medida paliativa, remova o bit SUID dos binários explorados (ssh-keysign e chage). Isso impede que eles rodem com privilégios de root, neutralizando o vetor de ataque específico deste PoC.

sudo chmod u-s /usr/libexec/openssh/ssh-keysign
sudo chmod u-s /usr/bin/chage

Atenção: Isso pode alterar o comportamento esperado dessas ferramentas em ambientes específicos

Conclusão

O CVE-2026-46333 representa um risco significativo para a confidencialidade dos dados em servidores Linux multiusuário. Com exploits públicos circulando, a janela para ataques ativos é curta. Administradores devem priorizar a aplicação do patch do kernel ou a implementação das mitigações de ptrace_scope imediatamente.