ADSENSE
|
La vulnerabilità “Copy Fail” in Linux: un rischio concreto per la sicurezza
Una grave vulnerabilità nel kernel Linux, identificata come CVE-2026-31431 e denominata “Copy Fail”, sta destando preoccupazione tra gli esperti di sicurezza informatica.
Questa lacuna, presente sin dal 2017, permette un’escalation di privilegi a livello di root attraverso la manipolazione della page cache.
Agenzie come la CISA (Cybersecurity and Infrastructure Security Agency) hanno elevato il livello di allerta, confermando che sono già in corso attacchi nel mondo reale che sfruttano questa falla.
La sua inclusione nel catalogo KEV (Known Exploited Vulnerabilities) testimonia la serietà della situazione per i sistemi Linux.
Dettagli tecnici della falla CVE-2026-31431
La vulnerabilità “Copy Fail” rientra nella categoria delle local privilege escalation.
Il problema nasce da un errore logico nel template crittografico di autenticazione del kernel Linux, introdotto con una modifica nel 2017 nel modulo algif_aead.
Questo modulo gestisce operazioni crittografiche e, con l’aggiornamento, è stato aggiunto il supporto alle operazioni in-place, che consentono di cifrare dati direttamente nella stessa area di memoria, senza copiarli altrove.
Durante queste operazioni, a causa di un controllo mancante, il codice scrive alcuni byte in una zona errata, precisamente nella page cache, la memoria che contiene le copie dei file utilizzati dal sistema.
Un attaccante può sfruttare questo comportamento per modificare il contenuto in memoria di un file eseguibile, ad esempio un binario con privilegi elevati.
Il file su disco rimane inalterato, eludendo i controlli di integrità, ma quando il sistema lo esegue, utilizza la versione alterata presente in RAM.
Questo permette al programma modificato di concedere accesso root all’attaccante sul sistema Linux.
Impatto critico su ambienti cloud e container
La preoccupazione della CISA è giustificata dall’impatto significativo che questa vulnerabilità può avere, specialmente negli ambienti cloud e containerizzati.
Un processo compromesso all’interno di un container può sfruttare “Copy Fail” per evadere l’isolamento.
A differenza di altre vulnerabilità, questa non richiede tecniche complesse come race condition o brute force su indirizzi di memoria, rendendo l’attacco di basso livello di complessità.
Container e isolamento
Un aggressore può eseguire codice arbitrario al di fuori dei confini di un ambiente protetto.
Configurazioni basate su Docker, LXC e Kubernetes sono particolarmente a rischio: se il modulo algif_aead è attivo sul kernel host, può verificarsi l’esecuzione di codice arbitrario al di fuori del container.
Bastano poche righe di codice Python (circa 732 byte) per ottenere un’escalation a root, e versioni alternative in Go e Rust mostrano già variazioni nelle chiamate di sistema, complicando le difese basate su pattern statici.
La sicurezza dei sistemi basati su container è quindi fortemente compromessa.
Come verificare e mitigare la vulnerabilità
Per verificare la vulnerabilità “Copy Fail” e proteggere i sistemi Linux, è fondamentale seguire alcuni passaggi.
Verifica della vulnerabilità
1.
Controllo della versione del kernel: Le release antecedenti a 6.18.22, 6.19.12 e 7.0 sono vulnerabili. È possibile verificarlo con il comando “uname -r”.
Se il kernel rientra nel range 2017-2026 senza patch correttive, il rischio è concreto. 2.
Presenza del modulo algifaead: Eseguire “lsmod | grep algifaead” per verificare se il modulo è caricato.
Se presente, il sistema espone la superficie d’attacco. 3.
Supporto integrato nel kernel: Nei sistemi con la funzionalità compilata direttamente nel kernel (CONFIGCRYPTOUSERAPIAEAD=y), è necessario analizzare la configurazione con “grep CONFIGCRYPTOUSERAPIAEAD /boot/config-$(uname -r)”. 4.
Ambienti containerizzati: Verificare se i container possono accedere ad AF_ALG, spesso abilitato di default, propagando il rischio.
Mitigazione e workaround
L’aggiornamento del kernel è la soluzione definitiva, poiché corregge la validazione dei buffer nelle operazioni crittografiche in-place.
Se l’aggiornamento non è immediatamente possibile, si può disabilitare il modulo algif_aead con i comandi: echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif.conf rmmod algif_aead Nei sistemi con supporto integrato, si può usare il parametro di boot initcallblacklist per bloccarne l’inizializzazione. È importante valutare l’impatto di queste misure sulle applicazioni che usano AFALG per operazioni crittografiche.
Per i gestori di sistemi Linux, la priorità è aggiornare rapidamente, limitare gli accessi locali e monitorare comportamenti anomali.