A fine aprile, i ricercatori di Theori hanno divulgato i dettagli di una grave vulnerabilità, denominata Copy Fail, presente nel kernel Linux dalla versione 5.10 alla versione 7.0. Hanno anche pubblicato il codice sorgente dell’exploit su GitHub (uno script Python). Microsoft ha descritto un possibile attacco informatico.
Accesso completo con privilegi root
I ricercatori hanno testato quattro distribuzioni (Red Hat Enterprise Linux 10.1, Ubuntu 24.04 LTS, Amazon Linux 2023 e SUSE 16), ma la vulnerabilità (CVE-2026-31431) è presente in quasi tutte le distribuzioni rilasciate a partire dal 2017. Il bug è dovuto all’errata gestione della memoria da parte del modulo del kernel algif_aead che fornisce funzioni crittografiche accelerate dall’hardware.
L’exploit permette di ottenere privilegi elevati (root) scrivendo quattro byte nella page cache (copia in memoria) di ogni file. È una vulnerabilità che può essere sfruttata solo localmente. Tuttavia, l’accesso remoto può essere ottenuto sfruttando una catena di vulnerabilità.
Microsoft ha descritto le fasi di un possibile attacco. I cybercriminali identificano un host Linux con kernel vulnerabile, eseguono uno script Python con bassi privilegi e ottengono privilegi di root. A questo punto prendono il controllo del sistema e possono eseguire qualsiasi operazione.
È chiara la gravità soprattutto per i server Linux e gli host condivisi. Un cybercriminale potrebbe accedere a qualsiasi applicazione o database ed eventualmente ad altri sistemi sulla stessa rete o data center. Nel caso di un computer Linux personale è sufficiente inviare un link o un allegato per sfruttare la vulnerabilità.
I ricercatori hanno segnalato il problema il 23 marzo. La patch del kernel è stata rilasciata il 1 aprile. Molte distribuzioni sono state già aggiornate. In alternativa è consigliata la disattivazione del suddetto modulo con questi comandi:
echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead
Ti potrebbe interessare
5 mag 2026