A inizio maggio evidenziata una vulnerabilità critica nel kernel Linux, la CVE-2026-31431 ma chiamata CopyFail. Qui di seguito il commento di Yaroslav Kikel, Global Research and Analysis Team, Kaspersky.
A inizio maggio è stata evidenziata una vulnerabilità critica nel sistema operativo Linux, che potrebbe avere implicazioni rilevanti per la sicurezza di numerosi ambienti informatici. Questa falla, identificata come CVE-2026-31431 e denominata CopyFail, è particolarmente significativa perché potrebbe consentire a utenti con privilegi limitati di ottenere il controllo completo dei sistemi interessati.
Potrebbe consentire a un utente standard di ottenere il pieno controllo amministrativo su un sistema. Con questo livello di accesso, un aggressore può installare software, modificare qualsiasi file, creare account o arrestare completamente i sistemi. Il problema riguarda potenzialmente i sistemi basati sul kernel Linux. Ovvero il livello centrale del sistema operativo che controlla hardware, memoria ed esecuzione delle applicazioni.
Cosa rende degna di nota questa vulnerabilità
Secondo i dettagli tecnici disponibili, la vulnerabilità potrebbe derivare da un codice introdotto già nel 2017. Il che significa che potrebbe interessare un’ampia gamma di versioni di Linux rilasciate nell’arco di quasi un decennio, comprese distribuzioni ampiamente utilizzate come i sistemi basati su Ubuntu e Red Hat. Il problema sembra riguardare il modo in cui il kernel gestisce determinate operazioni di crittografia. Una vulnerabilità nel modo in cui vengono elaborati i dati potrebbe consentire agli aggressori di sovrascrivere parti di cache dei file del sistema. Manomettendo così i programmi affidabili mentre vengono caricati in memoria.
Chi è più a rischio
È insolito che un exploit funzionante sia stato descritto come estremamente semplice, solo poche righe di codice di Python, e si basi solo su chiamate di sistema legittime. Questo rende più difficile distinguerlo dalla normale attività di sistema e abbassa la barriera per gli aggressori. Sono stati già rivelati anche exploit in altri linguaggi, tra cui Go e Rust. Questa vulnerabilità non può essere sfruttata da remoto di per sé: un aggressore deve prima ottenere l’accesso locale.
Attenzione, non è innocua
Tuttavia, questo non la rende innocua. Diventa particolarmente pericolosa in scenari quali server compromessi (dopo una violazione iniziale) e minacce interne. È particolarmente preoccupante in ambienti containerizzati come Docker o Kubernetes. In queste configurazioni, i processi all’interno dei container potrebbero comunque accedere all’interfaccia crittografica vulnerabile. Se sfruttata, potrebbe consentire a un aggressore di uscire dal container e ottenere il controllo della macchina host sottostante.
Cosa si può fare contro questa vulnerabilità
Si raccomanda pertanto ai team di sicurezza di monitorare eventuali modifiche insolite dei privilegi. Come ad esempio processi che acquisiscono inaspettatamente diritti di accesso più elevati senza seguire le normali procedure di autorizzazione. A quanto pare nelle versioni stabili del kernel Linux è già stata introdotta una correzione che risolve il problema della convalida non corretta nel componente crittografico interessato. Per chi non può effettuare l’aggiornamento immediatamente, una misura di mitigazione temporanea consiste nel disabilitare il modulo vulnerabile (algif_aead). Sebbene questo possa influire su alcune funzioni crittografiche, riduce la superficie di attacco immediata.
