Una vulnerabilità critica del kernel Linux, soprannominata “Copy Fail” e identificata come CVE-2026-31431, sta creando scompiglio nel mondo della sicurezza informatica. Secondo la Cybersecurity and Infrastructure Security Agency (CISA) americana, questa flaw è già stata sfruttata attivamente dagli attaccanti, rendendo urgente l’applicazione delle patch di sicurezza.
Un bug nascosto da nove anni
La vulnerabilità presenta caratteristiche particolarmente insidiose: nonostante sia stata scoperta pubblicamente solo il 29 aprile 2026, le sue radici affondano in modifiche apparentemente innocue apportate al kernel Linux tra il 2011 e il 2017. Tre cambiamenti separati, ciascuno innocuo di per sé, hanno creato le condizioni perfette per questa falla di sicurezza una volta combinati insieme.
Il problema risiede nel modulo algif_aead del sottosistema crittografico AF_ALG del kernel, dove un errore logico nel template di autenticazione crittografica causa una gestione impropria della memoria durante operazioni in-place. Con un punteggio CVSS di 7.8, la vulnerabilità è classificata come “HIGH” e appartiene alla categoria CWE-699.
Exploit devastante con poche righe di codice
Ciò che rende questa vulnerabilità particolarmente allarmante è la semplicità dell’exploit. Un semplice script Python di soli 732 byte permette a qualsiasi utente locale non privilegiato di ottenere accesso root in modo affidabile. L’attacco sfrutta l’interazione tra l’interfaccia socket AF_ALG, la chiamata di sistema splice() e una gestione impropria degli errori durante un’operazione di copia fallita.
Il risultato è una sovrascrittura controllata di 4 byte nella cache delle pagine del kernel, permettendo agli attaccanti di corrompere binari setuid e altri dati sensibili gestiti dal kernel. L’exploit funziona interamente nello spazio del kernel, aggirando le protezioni tradizionali dello spazio utente.
Impatto critico sui container e cloud
Secondo Canonical, l’impatto varia significativamente in base al tipo di deployment. Negli ambienti senza workload containerizzati, la vulnerabilità consente l’escalation dei privilegi da utente locale a root. Tuttavia, negli deployment containerizzati che eseguono workload potenzialmente dannosi, la vulnerabilità può facilitare scenari di container escape.
Questa caratteristica è particolarmente preoccupante per gli ambienti cloud moderni, inclusi cluster Kubernetes e runner Docker CI, dove l’exploit non richiede privilegi root all’interno dei container, moduli kernel aggiuntivi o accesso di rete.
Distribuzioni colpite e mitigazioni immediate
La vulnerabilità interessa praticamente tutte le principali distribuzioni Linux con kernel compilati dal 2017 in poi, incluse Ubuntu 24.04 LTS, Amazon Linux 2023, Red Hat Enterprise Linux 10.1, SUSE 16, Debian, Fedora e Arch Linux. Ubuntu ha confermato che tutte le versioni precedenti alla 26.04 sono affette.
Canonical ha già rilasciato mitigazioni che disabilitano il modulo kernel interessato tramite il pacchetto kmod, mentre patch complete del kernel sono in arrivo. Gli utenti possono verificare se sono interessati eseguendo uname -r per controllare la versione del kernel in uso.
Azioni urgenti richieste
CISA ha aggiunto CVE-2026-31431 al catalogo KEV il 1° maggio 2026, imponendo alle agenzie federali civili una scadenza obbligatoria per la remediation entro il 15 maggio 2026. Le patch sono disponibili nelle versioni del kernel Linux 6.18.22, 6.19.12 e 7.0.
Per gli amministratori di sistema è fondamentale aggiornare immediatamente tutti i pacchetti con sudo apt update && sudo apt upgrade o, in alternativa, installare specificamente le mitigazioni disponibili. È importante notare che la mitigazione disabilita un modulo utilizzato per la crittografia accelerata hardware, il che potrebbe richiedere un riavvio per garantire che le applicazioni passino alle funzioni crittografiche in userspace.
La natura critica di questa vulnerabilità e la sua facilità di sfruttamento rendono imperativo un intervento immediato. Organizzazioni e amministratori devono prioritizzare l’audit delle versioni del kernel Linux in tutti gli ambienti cloud, containerizzati e on-premise senza ulteriori ritardi.
Lascia un commento