No último dia 29 de abril, o mundo da segurança digital foi abalado pela divulgação de uma das vulnerabilidades mais graves já encontradas no kernel Linux: a CVE-2026-31431, apelidada de “Copy Fail”. Em menos de 24 horas, especialistas de todo o mundo já a comparavam às piores falhas da história — e com razão.

Neste artigo, explicamos o que aconteceu, por que isso é tão sério, e o que a HomeHost fez imediatamente para proteger todos os seus cliente

• O impacto no mundo

O alcance da Copy Fail é difícil de exagerar. A falha ficou escondida no kernel Linux por quase nove anos — desde 2017 — e nesse período afetou silenciosamente todas as principais distribuições Linux do planeta: Ubuntu, Red Hat Enterprise Linux, Amazon Linux, Debian, SUSE, Fedora, Arch Linux e dezenas de outras.

A vulnerabilidade impactou uma parcela significativa de toda a infraestrutura cloud Linux do mundo e milhões de clusters Kubernetes. Na prática, isso significa servidores de empresas, bancos, e-commerces, plataformas de streaming, sistemas de saúde e governos — qualquer organização que use Linux, ou seja, a esmagadora maioria da internet global.

A CISA adicionou a CVE-2026-31431 imediatamente ao seu catálogo de vulnerabilidades exploradas conhecidas, e o CERT-EU emitiu alerta de emergência para toda a União Europeia.

O exploit já estava disponível publicamente — um script de apenas 732 bytes, funcional sem modificações em qualquer distribuição afetada — colocando uma corrida contra o tempo em andamento: de um lado, administradores de sistemas ao redor do mundo tentando aplicar patches o mais rápido possível; do outro, agentes maliciosos com uma ferramenta pronta para uso nas mãos.

O setor de hospedagem de sites foi um dos mais atingidos, dado que servidores compartilhados concentram múltiplos clientes no mesmo kernel vulnerável.

O que é a Copy Fail?

A Copy Fail é uma falha no nível do kernel do sistema operacional Linux — a camada mais profunda e privilegiada do sistema. Especificamente, o problema está no módulo algif_aead, parte da API criptográfica do kernel (AF_ALG), introduzido por uma otimização de código feita em 2017.

O que torna essa vulnerabilidade excepcional é sua combinação devastadora de características:

• Universal: afeta todos os kernels Linux desde a versão 4.14 (lançada em 2017) até versões recentes não corrigidas — praticamente todo servidor Linux ativo no mundo estava vulnerável.

• Confiável: diferente de outras falhas históricas como a Dirty Cow (CVE-2016-5195) ou a Dirty Pipe (CVE-2022-0847), a Copy Fail não depende de condições de corrida, tentativas múltiplas ou configurações específicas. Ela funciona de forma determinística — sempre.

• Minúscula: o exploit completo cabe em 732 bytes de Python. Qualquer usuário sem privilégios pode executá-lo com facilidade.

• Furtiva: a escrita maliciosa bypassa o caminho normal do sistema de arquivos, sem deixar rastros convencionais nos logs.

Em termos práticos: qualquer usuário comum com acesso a um servidor vulnerável consegue escalar seus privilégios para root — o nível máximo de controle do sistema — em questão de segundos.

Por que isso afeta os servidores de hospedagem de sites?

Todo servidor de hospedagem web profissional roda Linux. Sem exceção. Sistemas como Ubuntu, Amazon Linux, Red Hat Enterprise Linux (RHEL), Debian, SUSE e CentOS — todos foram confirmados como vulneráveis. Isso significa que virtualmente 100% dos servidores de hospedagem compartilhada no mundo estavam expostos.

O cenário mais crítico em hospedagem é o de ambientes multi-tenant — ou seja, servidores onde múltiplos clientes compartilham a mesma máquina. Nesse contexto, a Copy Fail abre a possibilidade de:

• Um usuário de um site acessar arquivos e dados de outros clientes no mesmo servidor

• Obter controle total sobre o servidor, incluindo senhas, bancos de dados e e-mails

• Escapar de contêineres e ambientes isolados

• Comprometer toda a cadeia de clientes hospedados na mesma infraestrutura

A gravidade foi reconhecida globalmente: a vulnerabilidade recebeu pontuação CVSS 7.8 (Alta) e foi adicionada ao catálogo de vulnerabilidades exploradas conhecidas da CISA (agência americana de segurança cibernética). O Microsoft Defender Security, o CERT-EU e a Ubuntu Security Team emitiram alertas imediatos.

“Assim que a vulnerabilidade foi divulgada, nossa equipe técnica entrou em ação imediatamente. Em poucas horas após a divulgação pública, a HomeHost identificou todos os servidores afetados em nossa infraestrutura, mapeando as versões de kernel em execução. Aplicou a mitigação emergencial — desabilitando o módulo algif_aead nos servidores, fechando o vetor de ataque enquanto os patches definitivos ainda estavam sendo preparados pelos fornecedores de distribuição. Monitorou ativamente sinais de exploração, utilizando regras de detecção específicas para a Copy Fail. Realizou a atualização completa do kernel assim que os patches de produção foram disponibilizados pelas distribuições, com reinicialização controlada dos servidores. Verificou a integridade dos sistemas pós-atualização para confirmar a correção efetiva. Nosso compromisso sempre foi — e continuará sendo — agir antes que nossos clientes precisem se preocupar. Segurança não é opcional: é a fundação de tudo o que fazemos”, apontou Gustavo Carvalho, CEO da HomeHost, empresa líder no mercado de hospedagem de sites, há 20 anos no mercado.

O artigo completo pode ser lido no site https://www.homehost.com.br/blog/seguranca-da-informacao/copy-fail-cve-2026-31431-a-vulnerabilidade-mais-grave-da-historia-do-linux/ .