CopyFail, già sfruttata la vulnerabilità Linux che può dare privilegi completi

Si chiama CopyFail la grave vulnerabilità che interessa il kernel Linux 7.0 e precedenti e può permettere a un utente con permessi limitati di ottenere privilegi completi sui sistemi esposti. Il bug è identificato ufficialmente come CVE-2026-31431 e, secondo il governo statunitense, sarebbe già sfruttato in attacchi reali. Alla luce del rischio per le reti federali, la Cybersecurity and Infrastructure Security Agency ha ordinato a tutte le agenzie civili federali di installare le patch sui sistemi interessati entro il 15 maggio.

La vulnerabilità era stata segnalata al team di sicurezza del kernel Linux alla fine di marzo ed è stata corretta dopo circa una settimana, ma le patch non sono ancora arrivate in modo uniforme a tutte le distribuzioni che utilizzano il kernel vulnerabile. Questo significa che molti sistemi potrebbero essere ancora esposti, soprattutto in ambienti aziendali, cloud e data center, dove Linux è alla base di una parte rilevante dell’infrastruttura informatica.

L’aspetto più delicato è che il codice exploit è stato pubblicato dai ricercatori di sicurezza, rendendo più semplice per altri soggetti testare o sfruttare la falla. La pagina dedicata a CopyFail sostiene che un breve script Python sarebbe in grado di ottenere i privilegi di root su ogni distribuzione Linux rilasciata dal 2017. Secondo Theori, la società che ha scoperto la vulnerabilità, il bug è stato verificato su diverse versioni molto diffuse, tra cui Red Hat Enterprise Linux 10.1, Ubuntu 24.04 LTS, Amazon Linux 2023 e SUSE 16.

CopyFail prende il nome dal comportamento anomalo del componente interessato nel kernel Linux. In sostanza, il componente interessato del kernel non copierebbe alcuni dati quando dovrebbe farlo, causando la corruzione di informazioni sensibili all’interno del kernel stesso. Da qui nasce la possibilità, per un attaccante, di sfruttare i privilegi del kernel per accedere al resto del sistema.

Il problema principale è che la vulnerabilità consente a un utente normale, con permessi limitati, di ottenere privilegi di amministratore su un sistema esposto. In un computer personale sarebbe già un problema serio, ma in un server aziendale o in un data center il rischio diventa molto più esteso. Un attacco riuscito potrebbe permettere di accedere ad applicazioni, server e database collegati al sistema compromesso, con possibili movimenti successivi all’interno della stessa rete.

Il DevOps engineer e sviluppatore, Jorijn Schrijvershof, ha scritto che l’exploit funziona anche su versioni Debian e Fedora, oltre che su Kubernetes, che si appoggia al kernel Linux. Schrijvershof ha descritto CopyFail come una vulnerabilità con un raggio d’impatto insolitamente ampio, proprio perché coinvolgerebbe quasi tutte le distribuzioni Linux moderne.

CLICCA QUI PER CONTINUARE A LEGGERE