Um novo exploit de prova de conceito (PoC) voltado para o kernel Linux está preocupando pesquisadores e administradores de sistemas após a divulgação pública da vulnerabilidade CVE-2026-31635, apelidada de DirtyDecrypt ou DirtyCBC. A falha permite escalonamento local de privilégios (LPE), possibilitando que usuários sem privilégios obtenham acesso root em sistemas vulneráveis.

A vulnerabilidade foi identificada pelas equipes da Zellic e V12 Security em maio de 2026 e afeta especificamente o mecanismo rxgk_decrypt_skb() do kernel Linux. O problema ocorre devido à ausência de uma proteção Copy-on-Write (COW), mecanismo utilizado pelo Linux para impedir que gravações em páginas compartilhadas de memória afetem outros processos. Sem essa proteção, invasores conseguem modificar diretamente áreas críticas da memória e até arquivos privilegiados no page cache do sistema.

Segundo os pesquisadores, a falha impacta distribuições que utilizam CONFIG_RXGK, incluindo Fedora, Arch Linux e openSUSE Tumbleweed. Em ambientes containerizados, o problema também representa risco adicional, já que nós vulneráveis podem abrir caminho para escape de containers e comprometimento do host.

A exploração da DirtyDecrypt pode permitir alterações em arquivos extremamente sensíveis, como /etc/shadow, /etc/sudoers e binários SUID, comprometendo completamente a integridade do sistema operacional. A técnica segue a mesma linha de outras vulnerabilidades recentes do Linux, como Copy Fail, Dirty Frag e Fragnesia, todas associadas a falhas envolvendo manipulação incorreta de memória compartilhada e page cache no kernel.

O cenário chamou atenção da comunidade Linux devido à velocidade com que novas variantes vêm sendo descobertas. O caso ganhou ainda mais repercussão após pesquisadores divulgarem detalhes técnicos e PoCs antes do encerramento completo do período de embargo coordenado, acelerando o risco de weaponização por grupos maliciosos. Um dos pesquisadores envolvidos afirmou que conseguiu transformar rapidamente um patch público em um exploit funcional, prática conhecida como “n-day weaponization”.

Além da DirtyDecrypt, outras falhas recentes elevaram o alerta em torno da segurança do kernel Linux. Entre elas está a CVE-2026-46333, apelidada de “ssh-keysign-pwn”, capaz de expor segredos pertencentes ao usuário root, incluindo chaves SSH privadas. Diversas distribuições já publicaram atualizações e alertas de segurança relacionados ao problema, incluindo Red Hat, Ubuntu, Fedora, SUSE, Gentoo e Amazon Linux.

O aumento da frequência dessas vulnerabilidades levou desenvolvedores do kernel Linux a discutirem a criação de um mecanismo emergencial chamado “killswitch”. A proposta permitiria que administradores desativassem funções vulneráveis do kernel em tempo de execução até que patches oficiais fossem disponibilizados. A funcionalidade atuaria como uma mitigação temporária contra zero-days críticos em ambientes produtivos.

Paralelamente, o Rocky Linux anunciou um novo repositório opcional focado em atualizações emergenciais de segurança. A iniciativa busca acelerar a entrega de correções em situações nas quais exploits públicos surgem antes da disponibilidade de patches oficiais upstream. Segundo os mantenedores, o recurso será opcional para preservar a estabilidade tradicional da distribuição, mas poderá ser ativado por administradores que precisem responder rapidamente a ameaças críticas.

A sequência de falhas envolvendo page cache, Copy-on-Write e subsistemas criptográficos do kernel reforça a pressão sobre administradores Linux para manter sistemas atualizados e monitorar rapidamente novas divulgações de segurança. Em ambientes corporativos e cloud, especialmente aqueles com workloads críticos e containers compartilhados, a exploração dessas vulnerabilidades pode resultar em comprometimento completo da infraestrutura.