Negli ultimi giorni sono emerse notizie riguardanti una vulnerabilità critica nel sistema operativo del kernel Linux, che potrebbe avere implicazioni rilevanti per la sicurezza di numerosi ambienti informatici. Questa falla, identificata come CVE-2026-31431 e denominata “CopyFail”, è particolarmente significativa perché potrebbe consentire a utenti con privilegi limitati di ottenere il controllo completo dei sistemi interessati.
La vulnerabilità segnalata potrebbe in particolare consentire a un utente standard di ottenere il pieno controllo amministrativo su un sistema. Con questo livello di accesso, un aggressore può installare software, modificare qualsiasi file, creare account o arrestare completamente i sistemi.
Il problema riguarda potenzialmente i sistemi basati sul kernel Linux, il livello centrale del sistema operativo che controlla l’hardware, la memoria e l’esecuzione delle applicazioni.
Cosa rende questa vulnerabilità pericolosa
Secondo i dettagli tecnici disponibili, la vulnerabilità potrebbe derivare da un codice introdotto già nel 2017, il che significa che potrebbe interessare un’ampia gamma di versioni di Linux rilasciate nell’arco di quasi un decennio, comprese distribuzioni ampiamente utilizzate come i sistemi basati su Ubuntu e Red Hat.
Il problema sembra riguardare il modo in cui il kernel gestisce determinate operazioni di crittografia. Una vulnerabilità nel modo in cui vengono elaborate i dati potrebbe consentire agli aggressori di sovrascrivere parti della cache dei file del sistema, manomettendo i programmi affidabili mentre vengono caricati in memoria.
“È insolito che un exploit funzionante sia stato descritto come estremamente semplice, solo poche righe di codice di Python, e si basi esclusivamente su chiamate di sistema legittime. Questo rende più difficile distinguerlo dalla normale attività di sistema e abbassa la barriera per gli aggressori. Sono stati già rivelati anche exploit in altri linguaggi, tra cui Go e Rust” ha spiegato Yaroslav Kikel, Kaspersky Global Research and Analysis Team ha commentato la notizia.
Chi è a rischio
Questa vulnerabilità non può essere sfruttata da remoto di per sé: un aggressore deve prima ottenere l’accesso locale. Tuttavia, questo non la rende innocua. Diventa particolarmente pericolosa in scenari quali server compromessi (dopo una violazione iniziale) e minacce interne.
È particolarmente preoccupante in ambienti containerizzati come Docker o Kubernetes. In queste configurazioni, i processi all’interno dei container potrebbero comunque accedere all’interfaccia crittografica vulnerabile. Se sfruttata, questo potrebbe consentire a un aggressore di uscire dal container e ottenere il controllo della macchina host sottostante, compromettendo un livello fondamentale della moderna sicurezza cloud.
Cosa si può fare
“Si raccomanda pertanto ai team di sicurezza di monitorare eventuali modifiche insolite dei privilegi, come ad esempio processi che acquisiscono inaspettatamente diritti di accesso più elevati senza seguire le normali procedure di autorizzazione. A quanto pare, nelle versioni stabili del kernel Linux è già stata introdotta una correzione che risolve il problema della convalida non corretta nel componente crittografico interessato. Per chi non può effettuare l’aggiornamento immediatamente, una misura di mitigazione temporanea consiste nel disabilitare il modulo vulnerabile (algif_aead). Sebbene questo possa influire su alcune funzioni crittografiche, riduce la superficie di attacco immediata” ha spiegato Yaroslav Kikel.
