# CVE-2025-38352 — Linux Kernel TOCTOU Race Condition > [!critical] > **CVSS:** 7.0 (High) | **Exploração ativa confirmada** | **CISA KEV:** adicionado em 2025-09-04 | **Prazo federal:** 2025-09-25 ## Visão Geral A **CVE-2025-38352** é uma vulnerabilidade de condição de corrida do tipo **Time-of-Check Time-of-Use (TOCTOU)** identificada no kernel Linux. Esse tipo de falha ocorre quando um processo verifica o estado de um recurso (o "check") e depois age sobre ele (o "use"), mas o estado do recurso pode ser modificado por outro processo entre essas duas operações — criando uma janela de exploração. A vulnerabilidade apresenta impacto **alto** em confidencialidade, integridade e disponibilidade, indicando que a exploração bem-sucedida pode permitir desde escalada de privilégios até corrupção de dados ou execução de código arbitrário no contexto do kernel. O fato de aparecer no Android Security Bulletin de setembro de 2025 evidencia que componentes Android baseados no kernel Linux também são afetados. A CISA adicionou esta vulnerabilidade ao seu catálogo **Known Exploited Vulnerabilities (KEV)** em 4 de setembro de 2025, confirmando exploração ativa em ambientes reais. Dispositivos Android amplamente utilizados no Brasil — smartphone é o principal vetor de acesso à internet para a maioria da população — tornam esta vulnerabilidade especialmente relevante para o contexto LATAM. ## Produtos Afetados | Fabricante | Produto | Versões Afetadas | Versão Corrigida | |-----------|---------|-----------------|-----------------| | Linux | Kernel Linux | Múltiplas versões (ver commit de fix) | Commit 2c72fe18cc5f e posterior | | Google | Android (múltiplas versões) | Versões anteriores ao patch de setembro 2025 | Android Security Patch Level 2025-09-01 | ## Métricas CVSS v3.1 | Métrica | Valor | |---------|-------| | Base Score | 7.0 (High) | | Vetor de Ataque | Local | | Complexidade | High | | Privilégios Necessários | Low | | Interação do Usuário | None | | Impacto Confidencialidade | High | | Impacto Integridade | High | | Impacto Disponibilidade | High | | Vetor Completo | CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H | ## Status de Exploração - **Exploração ativa:** Sim — confirmado pela CISA (adicionado ao KEV em 2025-09-04) - **PoC público:** Não confirmado publicamente - **Grupos conhecidos explorando:** Não atribuído publicamente - **Uso em ransomware:** Desconhecido (campo KEV: "Unknown") - **Desde:** Setembro de 2025 A presença simultânea no Android Security Bulletin e no CISA KEV sugere que esta vulnerabilidade faz parte de uma cadeia de exploração mais ampla, possivelmente combinada com outra falha para elevar o impacto — padrão comum em ataques sofisticados contra dispositivos móveis. ## CISA KEV Esta vulnerabilidade consta no catálogo **CISA Known Exploited Vulnerabilities** desde 4 de setembro de 2025. | Campo | Valor | |-------|-------| | Data de adição ao KEV | 2025-09-04 | | Prazo para agências federais | 2025-09-25 | | Ação obrigatória | Aplicar mitigações do fabricante ou descontinuar uso do produto | | Uso confirmado em ransomware | Desconhecido | > **Nota CISA:** Esta vulnerabilidade afeta um componente open-source amplamente usado. Verificar com fabricantes específicos sobre status de patching. ## Mitigação ### Patch Aplicar o commit de correção disponível no repositório oficial do kernel Linux: - **Commit:** `2c72fe18cc5f9f1750f5bc148cf1c94c29e106ff` - **Repositório:** [git.kernel.org](https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?id=2c72fe18cc5f9f1750f5bc148cf1c94c29e106ff) - **Android:** Aplicar o **Android Security Patch Level 2025-09-01** ou posterior via atualização OTA ### Workaround Para dispositivos Android: - Verificar atualizações de segurança em **Configurações → Sistema → Atualização do sistema** - Restringir execução de aplicativos não confiáveis com acesso local - Para distribuições Linux: aplicar patches de distribuição (Debian, Ubuntu, RHEL, etc.) assim que disponibilizados ## Contexto de Ameaça A vulnerabilidade TOCTOU no kernel Linux é particularmente perigosa por operar em nível de kernel, onde qualquer escalada de privilégios pode comprometer completamente o sistema. Esse tipo de vulnerabilidade é frequentemente encadeada com outras falhas para obter execução remota de código ou *sandbox escape* em contextos de browser ou aplicativo. A menção no Android Security Bulletin sugere contexto de exploração em dispositivos móveis, possivelmente como segundo estágio após uma exploração de sandbox escape — padrão documentado em campanhas de spyware como [[NSO Group]] e similares. ### Atores de Ameaça Associados Nenhum ator público confirmado neste momento. Vulnerabilidades de kernel Linux com exploração ativa são frequentemente associadas a grupos de ameaça persistente avançada (APT) com capacidade de desenvolvimento de exploits, como [[g0016-apt29|APT29]] e atores de spyware comercial. ### Campanhas Nenhuma campanha específica atribuída publicamente. ### TTPs MITRE ATT&CK - [[T1068 - Exploitation for Privilege Escalation]] — exploração de vulnerabilidade para escalada local - [[T1404 - Exploit OS Vulnerability]] — abuso de falha do sistema operacional (Android) ## Relevância LATAM/Brasil **Alta relevância.** O Brasil é um dos maiores mercados de smartphones do mundo, com mais de 220 milhões de dispositivos Android ativos. Vulnerabilidades no kernel Linux que afetam Android têm impacto direto sobre: - **Usuários corporativos** com dispositivos Android para acesso a sistemas bancários e corporativos - **Governo digital** — aplicativos oficiais como GOV.BR, eSocial e sistemas estaduais rodam em Android - **Setor financeiro** — aplicativos de banking mobile (Nubank, Itaú, Bradesco, BB) são alvos de ataques em dispositivos comprometidos - **Infraestrutura crítica** — dispositivos Android em redes industriais e de utilities são vetores crescentes de ataque O mercado LATAM concentra uma alta proporção de dispositivos Android legados que não recebem mais atualizações OEM — aumentando a janela de exposição após um patch oficial ser lançado. ## Referências - [NVD — CVE-2025-38352](https://nvd.nist.gov/vuln/detail/CVE-2025-38352) - [CISA KEV — CVE-2025-38352](https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-38352) - [Linux Kernel Commit Fix — 2c72fe18cc5f](https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/commit/?id=2c72fe18cc5f9f1750f5bc148cf1c94c29e106ff) - [Android Security Bulletin — Setembro 2025](https://source.android.com/docs/security/bulletin/2025-09-01)