Red Hat

Vulnerabilidade no Kernel Linux permite escalonamento de privilégios

Uma falha no subsistema de controle de tráfego do kernel Linux, identificada como CVE-2026-46331 e apelidada de “pedit COW”, permite que um usuário local não privilegiado obtenha acesso root em sistemas afetados. Essa vulnerabilidade, que se manifesta como uma escrita fora dos limites na ação de edição de pacotes (act_pedit), corrompe a memória compartilhada do cache de páginas. Um exploit público foi disponibilizado rapidamente após a atribuição da CVE em 16 de junho de 2026, e a Red Hat classificou a falha como importante. O ataque não altera arquivos no disco, mas contamina a cópia em cache de um binário setuid root na memória, permitindo que o invasor execute um shell root sem que verificações de integridade de arquivos detectem a alteração. Para que o exploit funcione, é necessário que o act_pedit esteja carregável e que namespaces de usuários não privilegiados estejam abertos. Sistemas como RHEL 10 e Debian 13 foram testados e mostraram essas condições presentes. A correção já foi disponibilizada por alguns fornecedores, mas muitos sistemas ainda permanecem vulneráveis, exigindo atenção imediata dos administradores.

Pacotes npm da Red Hat comprometidos em ataque à cadeia de suprimentos

Mais de 30 pacotes npm sob o namespace ‘@redhat-cloud-services’ da Red Hat foram comprometidos em um ataque à cadeia de suprimentos, que distribuiu uma nova variante do malware Shai-Hulud, chamada ‘Miasma’. A descoberta foi feita pelas empresas de segurança Aikido e OX Security, que identificaram versões de pacotes com backdoors projetados para roubar credenciais de desenvolvedores, segredos de nuvem, chaves SSH, tokens de CI/CD e outras informações sensíveis. Os pacotes comprometidos recebiam cerca de 117.000 downloads semanais. A Red Hat afirmou que removeu os pacotes afetados assim que tomou conhecimento do incidente e que a violação estava restrita a ferramentas de desenvolvimento internas. A investigação ainda está em andamento, mas até o momento não foram identificados impactos em ambientes de clientes ou sistemas de produção da Red Hat. O ataque foi realizado através da conta do GitHub de um funcionário da Red Hat, onde os invasores inseriram commits maliciosos que abusaram do mecanismo de publicação do npm. Os pacotes comprometidos continham um script ‘preinstall’ que executava um arquivo malicioso para roubar credenciais de serviços como AWS, Google Cloud e Azure. A situação é preocupante, pois 32 pacotes e 96 versões foram afetados, e organizações que instalaram versões comprometidas devem rotacionar imediatamente todas as credenciais e segredos utilizados.

Campanha de ataque à cadeia de suprimentos compromete pacotes do Red Hat

Uma nova campanha de ataque à cadeia de suprimentos, chamada Miasma, comprometeu pacotes do @redhat-cloud-services, visando roubar credenciais e segredos de máquinas de desenvolvedores, além de entregar um worm autorreplicante. O ataque utiliza táticas conhecidas de execução no momento da instalação, coleta de credenciais e exfiltração criptografada. Os pacotes afetados incluem vulnerabilidades-client, topological-inventory-client e outros. A análise de segurança revelou que os pacotes npm contêm um hook pré-instalado ofuscado, projetado para coletar segredos do GitHub, tokens npm, credenciais de nuvem e chaves SSH. O malware também possui lógica de exfiltração criptografada, transmitindo dados para um endpoint específico e utilizando o GitHub como mecanismo de fallback. Além disso, foi observado que o malware evita a execução em sistemas de língua russa. Acredita-se que a conta do GitHub de um funcionário da Red Hat tenha sido a porta de entrada para injetar o payload malicioso. Recomenda-se isolar os hosts afetados, remover as versões comprometidas e revisar atividades suspeitas no GitHub e npm. A desinstalação do pacote npm não é suficiente para a limpeza, devido à persistência do malware em ferramentas de desenvolvimento.

Vulnerabilidade crítica no Red Hat OpenShift AI permite escalonamento de privilégios

Uma grave falha de segurança foi identificada no serviço Red Hat OpenShift AI, que pode permitir que atacantes escalem privilégios e assumam o controle total da infraestrutura sob certas condições. O OpenShift AI é uma plataforma que gerencia o ciclo de vida de modelos de inteligência artificial preditiva e generativa em ambientes de nuvem híbrida. A vulnerabilidade, identificada como CVE-2025-10725, possui uma pontuação CVSS de 9.9, sendo classificada como ‘Importante’ pela Red Hat, uma vez que requer que o atacante esteja autenticado para comprometer o ambiente. Um atacante com privilégios baixos, como um cientista de dados utilizando um Jupyter notebook, pode elevar seus privilégios a um administrador completo do cluster, comprometendo a confidencialidade, integridade e disponibilidade do cluster. Isso pode resultar no roubo de dados sensíveis e na interrupção de serviços. As versões afetadas incluem Red Hat OpenShift AI 2.19 e 2.21. A Red Hat recomenda que os usuários evitem conceder permissões amplas a grupos de sistema e que as permissões para criar jobs sejam concedidas de forma mais granular, seguindo o princípio do menor privilégio.