CISA alerta para exploração ativa de falhas no Linux e Android

A Agência de Cibersegurança e Segurança das Infraestruturas dos Estados Unidos (CISA) alertou para a exploração ativa de duas vulnerabilidades críticas que afetam dispositivos Android e sistemas Linux, acrescentando ambas ao catálogo Known Exploited Vulnerabilities (KEV).

A vulnerabilidade mais recente, identificada como CVE-2025-48595, afeta o componente Android Framework e resulta de uma falha de integer overflow que pode ser explorada para obtenção de privilégios elevados no sistema. Segundo a Google, a falha afeta as versões Android 14, Android 15 e Android 16 e não requer qualquer interação do utilizador para ser explorada.

A empresa confirmou que existem indícios de exploração limitada e direcionada da vulnerabilidade, embora não tenha divulgado informações técnicas adicionais sobre os ataques ou os potenciais alvos. A correção foi incluída nos boletins de segurança Android de junho de 2026, correspondentes aos níveis de atualização de 1 e 5 de junho de 2026.

A segunda vulnerabilidade adicionada ao catálogo KEV é a CVE-2022-0492, uma falha de elevação de privilégios que afeta múltiplas versões do kernel Linux. O problema encontra-se na função cgroup_release_agent_write() do subsistema cgroups v1, permitindo que um atacante local contorne mecanismos de isolamento, eleve privilégios e, em determinados cenários, escape de contentores para obter acesso de nível root ao sistema anfitrião.

De acordo com análises anteriores da Aqua Security e da Palo Alto Networks, a vulnerabilidade representa um risco particularmente elevado em ambientes contentorizados que utilizam cgroups v1, sobretudo quando os contentores dispõem de permissões elevadas.

As versões do kernel Linux que corrigem a falha incluem: 4.9.301 e superiores; 4.14.266 e superiores; 4.19.229 e superiores; 5.4.177 e superiores; 5.10.97 e superiores; 5.15.20 e superiores; 5.16.6 e superiores; 5.17-rc3 e superiores.

Com a inclusão destas vulnerabilidades no catálogo KEV, as agências federais norte-americanas abrangidas pela diretiva BOD 22-01 foram instruídas a aplicar as atualizações ou implementar medidas de mitigação até 5 de junho.

Embora a obrigação seja dirigida ao setor público dos Estados Unidos, a CISA recomenda igualmente que operadores de infraestruturas críticas e organizações privadas tratem estas falhas com elevada prioridade.

Nenhuma das duas vulnerabilidades foi, até ao momento, associada a campanhas de ransomware, uma classificação que a CISA utiliza para assinalar ameaças com impacto particularmente elevado.