A vulnerabilidade CVE-2026-6420 no Keylime permitia burlar a atestação de integridade de sistemas Fedora. Aprenda a verificar se você está vulnerável, aplique a correção com um script automatizado, adote mitigação com iptables e saiba como se aprofundar em segurança com um livro recomendado. Conteúdo útil por anos, independentemente da data da falha.
Se você trabalha com servidores ou se preocupa com segurança, já deve ter ouvido falar do Keylime. Ele é uma ferramenta open-source que usa o TPM do seu computador para garantir que um sistema não foi adulterado, seja na inicialização ou durante seu funcionamento.
Porém, em maio de 2026, foi descoberta uma falha (CVE-2026-6420) que permitia que um invasor com acesso root à máquina burlasse essa verificação, guardando "comprovantes" de integridade válidos para usá-los depois. A correção veio na versão 7.14.2.
Mas calma, o objetivo aqui não é relembrar uma notícia antiga. A ideia é transformar essa informação em algo que você vai usar por muitos meses — um guia prático e atemporal. Vamos deixar a data de maio de 2026 só como um detalhe histórico e focar no que realmente importa para o seu dia a dia.
Como saber se você está vulnerável (ou se já aplicou a correção)?
Antes de mais nada, vamos verificar a versão do Keylime instalada no seu Fedora. Abra o terminal e execute:
# Verifica a versão do pacote keylime instalado rpm -q keylime # Ou use o DNF para listar informações detalhadas dnf list installed keylime
Se o comando retornar uma versão inferior a 7.14.2, seu sistema está vulnerável. Além disso, uma falha como a CVE-2026-6420 também afeta a política do SELinux, que deve estar na versão 44.1.0 ou superior. Para confirmar, utilize:
rpm -q keylime-selinux
Se a versão estiver desatualizada, é hora de agir.
Script de automação para aplicar a correção
Nada de comandos manuais toda vez. Crie um script (vamos chamar de fix_keylime.sh) para agilizar o processo em qualquer máquina Fedora que você administrar.
#!/bin/bash # Script: fix_keylime.sh # Descrição: Atualiza o Keylime para a versão segura (7.14.2) e sua política SELinux. echo "🚀 Iniciando correção de segurança do Keylime..." # Atualiza a lista de pacotes sudo dnf check-update # Aplica a atualização específica do Keylime (referente ao advisory) echo "📦 Aplicando atualização de segurança..." sudo dnf upgrade --advisory FEDORA-2026-513c495139 -y # Verifica se a atualização foi bem-sucedida INSTALLED_VERSION=$(rpm -q keylime) if [[ $INSTALLED_VERSION == *"7.14.2"* ]]; then echo "✅ Correção aplicada com sucesso! Versão instalada: $INSTALLED_VERSION" else echo "❌ Falha na atualização. Verifique manualmente." exit 1 fi # Reinicia os serviços do Keylime para garantir que a nova versão esteja ativa echo "🔄 Reiniciando serviços..." sudo systemctl restart keylime_verifier keylime_registrar keylime_agent echo "🎉 Procedimento finalizado. Sistema protegido."
Para usar, basta dar permissão de execução e rodar:
chmod +x fix_keylime.sh sudo ./fix_keylime.sh
📗 Recomendação de Leitura
Segurança em servidores Linux: Ataque e Defesa (anúncio) -> https://amzn.to/4xjabDS
Se você prefere estudar em português e quer aprender a "pensar como um hacker" para se antecipar a invasões, essa é a pedida! O livro ensina a usar as ferramentas prediletas dos invasores (como Nmap e Netcat) a seu favor, blindando seus sistemas.
Eu ganho uma comissão quando você faz uma compra.
Mitigação alternativa (caso você não possa atualizar agora)
Se, por algum motivo, você não puder reiniciar os serviços ou aplicar a atualização imediatamente, uma boa prática é reduzir a superfície de ataque com regras de firewall. A falha explora uma fraqueza no desafio do TPM, mas restringir o acesso à rede pode dificultar (ou inviabilizar) a ação do invasor.
O Keylime opera, por padrão, nas portas 8890 (agente), 8891 (registrador) e 8881 (verificador). Para permitir acesso apenas à sua rede de confiança, use o iptables:
# Limita acesso à porta do registrador (8891) apenas para sua sub-rede (ex: 192.168.1.0/24) sudo iptables -A INPUT -p tcp --dport 8891 -s 192.168.1.0/24 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 8891 -j DROP # Salva as regras para persistirem após reboot sudo iptables-save > /etc/iptables/rules.v4
Lembre-se: essa é uma solução paliativa. A melhor defesa continua sendo manter o software atualizado.
Conclusão
A vulnerabilidade CVE-2026-6420 foi corrigida na versão 7.14.2 do Keylime, e agora você tem um roteiro claro para verificar sua exposição, automatizar a correção e ainda adotar medidas paliativas com firewall. Mais do que remediar um problema pontual, o foco aqui é construir uma rotina sólida de segurança: verifique, atualize, monitore.
Nenhum comentário:
Postar um comentário