Rilasciato il PoC di DirtyDecrypt per la vulnerabilità LPE CVE-2026-31635 nel Kernel Linux

Recentemente, è stato pubblicato un codice di exploit proof-of-concept (PoC) per una vulnerabilità critica nel kernel di Linux, identificata come CVE-2026-31635. Questa falla consente una escalation dei privilegi a livello locale, rappresentando un potenziale serio rischio per i sistemi vulnerabili.

La vulnerabilità: cos’è DirtyDecrypt?

Denominata DirtyDecrypt (noto anche come DirtyCBC), questa vulnerabilità è stata scoperta il 9 maggio 2026 dal team di sicurezza Zellic e V12. Inizialmente, i gestori del kernel avevano informato il team che si trattava di un problema già risolto in precedenza. Tuttavia, l’analisi ha rivelato una mancanza di protezione copy-on-write (COW) nel codice del kernel, precisamente nella funzione rxgk_decrypt_skb(), che gestisce la decrittazione dei dati ricevuti. La falla permette di scrivere dati nella memoria di processi privilegiati o, in alcuni casi, nel cache delle pagine di file riservati come /etc/shadow o /etc/sudoers, consentendo così a un utente non autorizzato di elevare i propri privilegi.

Questa vulnerabilità ha un punteggio CVSS di 7.5, il che la colloca in una categoria di rischio elevato. È importante notare che colpisce specificamente distribuzioni che hanno attivato il parametro CONFIG_RXGK, come Fedora, Arch Linux e openSUSE Tumbleweed.

Implicazioni e rischi

DirtyDecrypt non è un caso isolato; esso rappresenta una variante di un’altra vulnerabilità nota come Copy Fail (CVE-2026-31431) e altri exploit simili come Dirty Frag e Fragnesia. Questi exploit si concentrano sulla possibilità di manomettere i contenuti di file protetti nel kernel, consentendo a un attaccante di ottenere accesso root su sistemi vulnerabili. In un contesto italiano, le aziende che utilizzano distribuzioni vulnerabili potrebbero dover affrontare non solo perdite economiche, ma anche danni reputazionali significativi se i loro sistemi venissero compromessi. È cruciale che gli amministratori di sistema e i professionisti IT valutino attentamente l’implementazione di misure di sicurezza adeguate.

Nuove misure per la sicurezza nel kernel Linux

La proliferazione di queste vulnerabilità ha spinto gli sviluppatori del kernel Linux a considerare un’emergente “killswitch”. Questa funzione consentirebbe agli amministratori di disabilitare, temporaneamente, funzioni vulnerabili del kernel fino a quando non vengono rilasciate soluzioni definitive. Secondo una proposta, l’attivazione di questo killswitch permetterebbe di bloccare l’esecuzione di un certo codice senza eliminare la sua presenza nel sistema, offrendo così una mitigazione per le vulnerabilità 0-day.

In un altro sviluppo correlato, Rocky Linux ha introdotto un nuovo repository di sicurezza. Questo repository consente alle distribuzioni di inviare correzioni urgenti in tempi rapidi, soprattutto quando vulnerabilità gravi vengono rese pubbliche prima che le patch upstream siano disponibili. Come affermano i gestori di Rocky Linux, la funzione è attiva solo su richiesta, mantenendo così la stabilità e la prevedibilità del sistema per gli utenti che preferiscono un approccio più tradizionale alla gestione delle patch.

Conclusione pratica

Le vulnerabilità come DirtyDecrypt evidenziano l’importanza di una vigilanza costante nel mondo della sicurezza informatica. Per gli utenti e le aziende italiane che utilizzano distribuzioni Linux, è fondamentale essere informati sulle vulnerabilità in corso e applicare tempestivamente le correzioni necessarie. Investire in formazione e strumenti di sicurezza adeguati può fornire una protezione efficace e ridurre i rischi di potenziali attacchi informatici. La proattività nella gestione delle vulnerabilità è la chiave per mantenere i sistemi al sicuro e protetti da accessi non autorizzati.