Nuova Vulnerabilità 'Copy Fail' in Linux Permette Accesso Root su Diverse Distribuzioni Recentemente, ricercatori nel campo della cybersecurity hanno rivelato l'esistenza di una grave vulnerabilità nel sistema operativo Linux che potrebbe consentire a utenti non privilegiati di ottenere l’accesso come…
Nuova Vulnerabilità ‘Copy Fail’ in Linux Permette Accesso Root su Diverse Distribuzioni
Recentemente, ricercatori nel campo della cybersecurity hanno rivelato l’esistenza di una grave vulnerabilità nel sistema operativo Linux che potrebbe consentire a utenti non privilegiati di ottenere l’accesso come amministratori. Questa falla di sicurezza, identificata come CVE-2026-31431, è stata soprannominata ‘Copy Fail’ e presenta un punteggio di severità di 7.8 sulla scala CVSS, segnalando un potenziale rischio significativo per i sistemi Linux più popolari.
Dettagli della Vulnerabilità
La vulnerabilità ‘Copy Fail’ permette a un utente locale non privilegiato di scrivere quattro byte controllati nella cache di pagina di qualsiasi file leggibile su un sistema Linux, arrivando così a guadagnare i privilegi di root. Il bug trae origine da un errore logico nel sottosistema crittografico del kernel Linux, specificamente nel modulo algif_aead. Questa falla è stata introdotta nel codice sorgente del kernel nell’agosto 2017 e, se sfruttata correttamente, può portare a gravi conseguenze.
L’exploit può essere realizzato attraverso un semplice script Python di 732 byte che interagisce con un file binario setuid di sistema. I passaggi per sfruttare la vulnerabilità comprendono l’apertura di un socket AF_ALG, la costruzione del payload di shellcode e l’invio di un’operazione di scrittura per modificare la cached copy di /usr/bin/su. Questo consente poi di eseguire il codice in modalità root, potenzialmente su tutte le distribuzioni Linux rilasciate dal 2017, incluse Amazon Linux, RHEL, SUSE e Ubuntu.
Impatto sulle Distribuzioni e Suggerimenti di Sicurezza
Sebbene la vulnerabilità non possa essere sfruttata da remoto, un utente locale non privilegiato può facilmente compromettere la cache di pagina di un file binario setuid. Questo presenta un rischio non trascurabile, considerando che la cache della pagina è condivisa tra tutti i processi di un sistema. In risposta alla divulgazione, le principali distribuzioni Linux hanno pubblicato avvisi di sicurezza e raccomandazioni per mitigare il problema.
Il parallelo con un’altra vulnerabilità conosciuta come Dirty Pipe (CVE-2022-0847), che consentiva anch’essa a utenti non privilegiati di manipolare i dati nella cache di pagina, porta a riflessioni preoccupanti sull’andamento della sicurezza nel kernel Linux. Come evidenziato da esperti del settore, vulnerabilità di questo tipo sembrano appartenere a una stessa classe di problemi significativi.
Conclusione Pratica
Per gli utenti e le aziende italiane che operano con sistemi Linux, è essenziale rimanere aggiornati sulle patch di sicurezza e applicarle tempestivamente. La vulnerabilità ‘Copy Fail’ dimostra ancora una volta che anche piccoli errori nel codice possono avere ripercussioni enormi. La raccomandazione è di effettuare audit delle installazioni esistenti e considerare l’implementazione di strategie di sicurezza multilivello per ridurre al minimo i rischi associati. In un mondo sempre più dipendente dalla digitalizzazione, la protezione dei dati e delle infrastrutture è fondamentale per il successo e la sicurezza delle operazioni aziendali.
