# CVE-2019-13272 > [!medium] Escalada de Privilégios no Kernel Linux - ptrace PTRACE_TRACEME > CVE-2019-13272 é uma vulnerabilidade de escalada de privilégios no kernel Linux causada por uso incorreto de ptrace com PTRACE_TRACEME, permitindo que usuários locais obtenham privilégios de root via race condition — com exploit público disponível. ## Visão Geral CVE-2019-13272 é uma vulnerabilidade de escalada de privilégios no kernel Linux versões anteriores a 5.1.17. O problema reside em como o kernel trata chamadas `ptrace()` com o flag `PTRACE_TRACEME`: uma condição de corrida (race condition) no tratamento de credenciais permite que um processo local sem privilégios eleve sua execução para root. A falha foi introduzida na função `ptrace_link()` no arquivo `kernel/ptrace.c`. Esta classe de vulnerabilidade — escalada de privilégios local no kernel Linux — é extremamente valiosa em cadeias de ataque pós-comprometimento. Após obter execução de código como usuário não privilegiado (via exploit de aplicação web, injeção de código, ou acesso SSH com credenciais vazadas), o atacante pode usar CVE-2019-13272 para escalar para root e ganhar controle total do sistema. A disponibilidade de PoC público torna a exploração acessível mesmo para atores menos sofisticados. A vulnerabilidade afeta distribuições Linux populares (Ubuntu, Debian, CentOS, Red Hat) que executavam kernels não atualizados em 2019-2020. > [!latam] Relevância para o Brasil > Servidores Linux são a infraestrutura dominante de aplicações web, bancos de dados e nuvem no Brasil. Ambientes com kernels desatualizados — comum em servidores de produção com ciclos longos de manutenção — permanecem vulneráveis. Grupos que operam na LATAM utilizam CVEs de escalada de privilégio Linux como componente padrão em ferramentas de pós-exploração. ## Detecção e Defesa - Atualizar kernel Linux para 5.1.17 ou superior — [[m1051-update-software|M1051 Update Software]] - Verificar versão do kernel com `uname -r`; aplicar patches de segurança da distribuição — [[m1051-update-software|M1051 Update Software]] - Monitorar chamadas ptrace incomuns via auditd: `-a always,exit -F arch=b64 -S ptrace` — [[t1068-exploitation-for-privilege-escalation|T1068]] - Implementar AppArmor/SELinux para restringir capacidades de ptrace a processos específicos — [[m1048-application-isolation-and-sandboxing|M1048]] - Usar ferramentas de detecção de comportamento anômalo em runtime (Falco, osquery) para identificar escalonamentos — [[t1055-process-injection|T1055]] ## Referências - [Linux Kernel Security Advisory 2019](https://www.kernel.org/pub/linux/kernel/v5.x/) - [NVD - CVE-2019-13272](https://nvd.nist.gov/vuln/detail/CVE-2019-13272)