Allerta sicurezza: la vulnerabilità "Copy Fail" minaccia diverse distribuzioni Linux A fine aprile, i ricercatori di Theori hanno rivelato una vulnerabilità critica, conosciuta come "Copy Fail", che interessa numerose versioni del kernel Linux, precisamente dalle versioni 5.10 fino alla 7.0.…
Allerta sicurezza: la vulnerabilità “Copy Fail” minaccia diverse distribuzioni Linux
A fine aprile, i ricercatori di Theori hanno rivelato una vulnerabilità critica, conosciuta come “Copy Fail”, che interessa numerose versioni del kernel Linux, precisamente dalle versioni 5.10 fino alla 7.0. Questo bug, contrassegnato come CVE-2026-31431, è stato documentato in dettaglio e il codice sorgente per sfruttarlo è stato reso disponibile su GitHub in uno script Python. Microsoft ha avvisato gli utenti riguardo ai rischi associati e alle possibili modalità di attacco.
Un rischio per i server e gli utenti
I ricercatori hanno testato questa vulnerabilità su varie distribuzioni, tra cui Red Hat Enterprise Linux 10.1, Ubuntu 24.04 LTS, Amazon Linux 2023 e SUSE 16. Tuttavia, è importante sottolineare che il difetto colpisce praticamente tutte le distribuzioni Linux rilasciate dal 2017 ad oggi. La causa del problema risiede in una gestione errata della memoria all’interno del modulo del kernel chiamato algif_aead, che fornisce funzionalità crittografiche accelerate hardware.
Questa vulnerabilità consente un elevato livello di accesso, permettendo a un malintenzionato di ottenere privilegi di root scrivendo solo quattro byte nella page cache di ogni file. Sebbene l’exploit possa essere eseguito solo localmente, ciò non toglie che un attaccante potrebbe unire questa vulnerabilità a un’altra per ottenere accesso remoto a un sistema vulnerabile.
La sequenza di un attacco
Microsoft ha delineato come potrebbe avvenire un attacco. I cybercriminali avrebbero bisogno di identificare un host Linux con la vulnerabilità. A quel punto, eseguendo uno script Python con privilegi bassi, potrebbero acquisire privilegi di root, consentendo loro di avere un controllo completo sul sistema. Le implicazioni per server Linux e ambienti condivisi sono preoccupanti; un attaccante ha la capacità di accedere a qualsiasi applicazione o database, nonché a ulteriori sistemi presenti nella stessa rete o nel data center.
Per gli utenti privati italiani che utilizzano un computer Linux, la situazione è pericolosa: un semplice link o un allegato malevolo potrebbe essere la porta d’ingresso per sfruttare questa vulnerabilità. Tutto ciò rende la strategia di prevenzione fondamentale, anche per chi non gestisce server complessi.
Aggiornamenti e precauzioni da adottare
Il problema è stato riportato dai ricercatori il 23 marzo, e la patch del kernel è stata rilasciata il 1 aprile. Diverse distribuzioni hanno già implementato queste correzioni di sicurezza; tuttavia, per coloro che non hanno effettuato l’aggiornamento, è possibile disattivare il modulo algif_aead seguendo questi semplici comandi:
bash
echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead
Conclusione: prendersi cura della sicurezza
In un contesto in cui le minacce informatiche sono in continua evoluzione, è cruciale che gli utenti di Linux mantengano i propri sistemi aggiornati e siano a conoscenza delle vulnerabilità potenzialmente dannose come “Copy Fail”. Per le aziende italiane, questo rappresenta un invito alla vigilanza e alla rapida implementazione delle patch di sicurezza, garantendo così la protezione delle proprie informazioni e delle reti aziendali da potenziali attacchi. La sicurezza informatica non è soltanto una questione tecnica, ma una responsabilità condivisa da tutti gli utenti.
