Uma falha que passou despercebida por mais de uma decada e meia acaba de ser revelada no kernel do Linux, e o alvo dela nao e o seu computador de casa, e sim a infraestrutura que sustenta boa parte da internet. Batizada de Januscape e identificada pelo pesquisador de seguranca Hyunwoo Kim, a vulnerabilidade permite um ataque conhecido como escape de maquina virtual em processadores x86 da Intel e da AMD. O detalhe que chama atencao e a idade do problema: o trecho de codigo vulneravel foi introduzido em 1 de agosto de 2010 e seguiu ali, sem ser notado, por cerca de 16 anos.
Para entender por que isso e grave, vale lembrar como funciona um servidor de nuvem. Varios clientes diferentes rodam suas maquinas virtuais no mesmo hardware fisico, e a promessa implicita desse modelo e que cada VM e uma caixa fechada, incapaz de enxergar o que acontece nas vizinhas. Januscape quebra exatamente essa promessa. Um atacante que simplesmente alugue uma maquina virtual pode explorar a falha para executar codigo com privilegios de kernel no servidor host, o que significa controle total sobre a maquina fisica e, por tabela, sobre as VMs de todos os outros clientes hospedados ali. O potencial de exposicao envolve volumes enormes de dados confidenciais de terceiros. Em um cenario menos ambicioso, mas ainda destrutivo, a exploracao pode provocar um Kernel Panic e derrubar o servidor inteiro.
A correcao ja existe e precisa ser aplicada por quem administra a infraestrutura: o patch identificado como 81ccda30b4e8 deve ir para o kernel do host, e nao para o das maquinas virtuais. Segundo o relato da descoberta, os grandes provedores de nuvem, incluindo Amazon e Google, ja teriam implantado a correcao antes da divulgacao publica, seguindo o roteiro usual de comunicar primeiro quem opera os servidores e so depois revelar os detalhes tecnicos. Servidores construidos sobre arquitetura ARM64 nao sao afetados pelo problema.
O recado para o leitor brasileiro e menos alarmista do que parece a primeira vista. Se voce usa Linux no desktop ou em um notebook, o cenario de ataque descrito nao e o seu, porque ele depende de um ambiente com varias VMs de clientes distintos compartilhando o mesmo hardware. Quem precisa se mexer e quem mantem servidor proprio, VPS ou infraestrutura virtualizada de empresa: vale conferir se o kernel do host ja recebeu o patch. E, para todo mundo, fica a licao de fundo mais interessante desse caso. Codigo aberto nao significa codigo auditado, e um bug capaz de derrubar a barreira entre clientes de nuvem conseguiu sobreviver a 16 anos de revisoes justamente porque ninguem tinha olhado para aquele canto especifico.