FreeBSD: Execução Remota de Código no Kernel via Estouro de Buffer na Pilha em kgssapi.ko (CVE-2026-4747)

✍️ OpenClawRadar📅 Publicado: April 2, 2026🔗 Source
FreeBSD: Execução Remota de Código no Kernel via Estouro de Buffer na Pilha em kgssapi.ko (CVE-2026-4747)
Ad

Detalhes da Vulnerabilidade

A vulnerabilidade existe em sys/rpc/rpcsec_gss/svc_rpcsec_gss.c dentro da função svc_rpc_gss_validate(). Um buffer de pilha de 128 bytes (rpchdr[]) é usado para reconstruir cabeçalhos RPC para verificação de assinatura GSS-API. Após escrever 32 bytes de campos fixos do cabeçalho RPC, a função copia todo o corpo da credencial RPCSEC_GSS (oa_length bytes) no espaço restante sem verificação de limites.

static bool_t svc_rpc_gss_validate(...) {
    int32_t rpchdr[128 / sizeof(int32_t)]; // 128 bytes na pilha
    // ...
    if (oa->oa_length) {
        // BUG: Sem verificação de limites em oa_length!
        // Após 32 bytes de cabeçalho, restam apenas 96 bytes em rpchdr.
        // Se oa_length > 96, isso transborda além de rpchdr
        memcpy((caddr_t)buf, oa->oa_base, oa->oa_length);
    }
}

Superfície de Ataque e Impacto

O módulo vulnerável kgssapi.ko implementa autenticação RPCSEC_GSS para o subsistema RPC do kernel do FreeBSD. O daemon do servidor NFS (nfsd) ouvindo na porta 2049/TCP processa pacotes RPC no contexto do kernel e usa este módulo quando a autenticação RPCSEC_GSS está habilitada. A exploração bem-sucedida resulta em execução remota de código no kernel com privilégios de root (shell reverso uid 0).

Ad

Versões Afetadas

  • FreeBSD 13.5 (<p11)
  • FreeBSD 14.3 (<p10)
  • FreeBSD 14.4 (<p1)
  • FreeBSD 15.0 (<p5)

A Correção

O patch para FreeBSD 14.4-RELEASE-p1 adiciona uma verificação de limites antes da cópia:

if (oa->oa_length > sizeof(rpchdr) - 8 * BYTES_PER_XDR_UNIT) {
    rpc_gss_log_debug("auth length %d exceeds maximum", oa->oa_length);
    client->cl_state = CLIENT_STALE;
    return (FALSE);
}

Análise do Layout da Pilha

Pela desmontagem da função, o array rpchdr está em [rbp-0xc0]. O memcpy escreve em rpchdr + 32 = [rbp-0xa0]. Com um identificador de contexto de 16 bytes no corpo da credencial, o endereço de retorno cai no byte 200 do corpo da credencial, permitindo o controle do fluxo de execução.

📖 Leia a fonte completa: HN AI Agents

Ad

👀 See Also

Claude Cowork 'Permitir Todas as Ações do Navegador': Preocupações de Segurança e Correções Propostas
Security

Claude Cowork 'Permitir Todas as Ações do Navegador': Preocupações de Segurança e Correções Propostas

Um usuário do Reddit destaca que o botão 'Permitir tudo' do Claude Cowork concede acesso permanente e irrestrito ao navegador em todas as sessões futuras, sem visibilidade, limites ou expiração, criando riscos de segurança. A publicação propõe permissões com escopo de sessão ou de habilidade como padrões mais seguros.

OpenClawRadar
🦀
Security

Título: Grupo de Inteligência de Ameaças do Google Relata Primeira Exploração de Dia Zero Desenvolvida por IA que Ignora 2FA

O Google Threat Intelligence Group detectou o primeiro exploit zero-day totalmente desenvolvido por IA que contorna a autenticação de dois fatores em uma popular ferramenta de administração de sistemas de código aberto baseada na web, junto com malware automórfico e backdoors alimentados por Gemini.

OpenClawRadar
Segurança de Agentes de IA: Além de Jailbreaks para o Uso Indevido de Ferramentas e Injeção de Prompts
Security

Segurança de Agentes de IA: Além de Jailbreaks para o Uso Indevido de Ferramentas e Injeção de Prompts

Agentes de IA que navegam na web, executam comandos e acionam fluxos de trabalho enfrentam riscos de segurança devido à injeção de prompt e uso indevido de ferramentas, onde conteúdo não confiável redireciona ferramentas legítimas como execução de shell e requisições HTTP.

OpenClawRadar
AppLovin Mediação Cipher Quebrada: Impressão Digital do Dispositivo Ignora ATT
Security

AppLovin Mediação Cipher Quebrada: Impressão Digital do Dispositivo Ignora ATT

A engenharia reversa revelou que a cifra personalizada da AppLovin usa um salt constante + chave SDK, um gerador pseudoaleatório SplitMix64 e nenhuma autenticação. Requisições descriptografadas carregam ~50 campos do dispositivo (modelo de hardware, tamanho da tela, localidade, tempo de inicialização, etc.) mesmo quando o ATT é negado, permitindo reidentificação determinística entre aplicativos.

OpenClawRadar