Ops! Tech blog... e non solo

Si chiama CopyFail la grave vulnerabilità che interessa diverse versioni del kernel Linux e può permettere a un utente con permessi limitati di ottenere privilegi completi sui sistemi esposti. Il problema riguarda un’ottimizzazione introdotta nel kernel Linux nel 2017. Il bug è identificato ufficialmente come CVE-2026-31431 e, secondo il governo statunitense, sarebbe già sfruttato in attacchi reali. Alla luce del rischio per le reti federali, la Cybersecurity and Infrastructure Security Agency ha ordinato a tutte le agenzie civili federali di installare le patch sui sistemi interessati entro il 15 maggio.

La vulnerabilità era stata segnalata al team di sicurezza del kernel Linux alla fine di marzo ed è stata corretta dopo circa una settimana, ma le patch non sono ancora arrivate in modo uniforme a tutte le distribuzioni che utilizzano il kernel vulnerabile. Questo significa che molti sistemi potrebbero essere ancora esposti, soprattutto in ambienti aziendali, cloud e data center, dove Linux è alla base di una parte rilevante dell’infrastruttura informatica.

L’aspetto più delicato è che il codice exploit è stato pubblicato dai ricercatori di sicurezza, rendendo più semplice per altri soggetti testare o sfruttare la falla. La pagina dedicata a CopyFail sostiene che un breve script Python sarebbe in grado di ottenere i privilegi di root su numerose distribuzioni Linux moderne, a condizione che siano basate su un kernel vulnerabile e non ancora corretto. Secondo Theori, la società che ha scoperto la vulnerabilità, il bug è stato verificato su diverse distribuzioni molto diffuse, tra cui Red Hat Enterprise Linux 10.1, Ubuntu 24.04 LTS, Amazon Linux 2023 e SUSE 16.

CopyFail prende il nome dal comportamento anomalo di un componente del kernel Linux. In sostanza, questo componente non copierebbe alcuni dati quando dovrebbe farlo, causando la corruzione di informazioni sensibili al suo interno. Da qui nasce la possibilità, per un attaccante, di sfruttare i privilegi del kernel per accedere al resto del sistema.

Il problema principale è che la vulnerabilità consente a un utente normale, con permessi limitati, di ottenere privilegi di amministratore su un sistema esposto. In un computer personale sarebbe già un problema serio, ma in un server aziendale o in un data center il rischio diventa molto più esteso. Un attacco riuscito potrebbe permettere di accedere ad applicazioni, server e database collegati al sistema compromesso, con possibili movimenti successivi all’interno della stessa rete.

Il DevOps engineer e sviluppatore, Jorijn Schrijvershof, ha scritto che l’exploit funziona anche su versioni Debian e Fedora, oltre che in ambienti Kubernetes basati su kernel vulnerabili. Schrijvershof ha descritto CopyFail come una vulnerabilità con un raggio d’impatto insolitamente ampio, proprio perché potrebbe coinvolgere molte distribuzioni Linux moderne non ancora aggiornate.

CopyFail non può essere sfruttata direttamente da remoto attraverso Internet, almeno non da sola. Questo dettaglio è importante, perché evita di descrivere il bug come una falla immediatamente utilizzabile contro qualunque server esposto online. Il rischio, però, resta alto se la vulnerabilità viene combinata con un altro exploit capace di raggiungere il sistema da remoto.

Secondo Microsoft, se CopyFail viene concatenata con un’altra vulnerabilità sfruttabile via Internet, un attaccante può usarla per ottenere accesso root su un server colpito. Un utente Linux con kernel vulnerabile potrebbe inoltre essere indotto ad aprire un link o un allegato malevolo progettato per attivare l’exploit.

Un altro rischio riguarda la catena di sviluppo del software. In questo scenario, un gruppo malevolo potrebbe compromettere l’account di uno sviluppatore open source e inserire codice dannoso in un progetto legittimo, con l’obiettivo di raggiungere molti sistemi attraverso software apparentemente affidabile.

Debian ha già rilasciato i fix per i vari kernel partendo dalla versione 11 alla 13:
https://security-tracker.debian.org/tracker/CVE-2026-31431