La vulnerabilità “CopyFail” (CVE-2026-31431) possiede caratteristiche di criticità, universalità e rapidità di esecuzione a dir poco preoccupanti. Stiamo infatti parlando di un bug locale nel kernel Linux che permette a un utente con privilegi minimi di assumere il controllo totale della macchina in pochi secondi.

L’aspetto ancora più inquietante di CopyFail risiede nella sua genesi e nella sua spaventosa affidabilità. La vulnerabilità è stata portata alla luce da Theori attraverso Xint, una piattaforma di penetration testing potenziata dall’intelligenza artificiale. Il bug risiede nel modo in cui il kernel gestisce determinate operazioni crittografiche, creando una falla nella gestione dei dati memorizzati nella cache. Un utente malintenzionato può manipolare informazioni che dovrebbero essere accessibili in sola lettura, trasformando un accesso limitato in una sessione con privilegi di root completi.

Un singolo script in Python si è dimostrato capace di abbattere le difese di distribuzioni profondamente diverse tra loro come Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 e SUSE 16. La capacità dello stesso binario di funzionare senza modifiche su architetture software così variegate è un evento raro che evidenzia quanto profonda sia la radice del problema nel codice del kernel. Gli esperti avvertono che quasi ogni build del kernel Linux prodotta dal 2017 a oggi rientra potenzialmente nel raggio d’azione di questo exploit, rendendo la superficie d’attacco vasta quasi quanto l’intera infrastruttura cloud mondiale.

Il senso di urgenza è stato recepito immediatamente dalla CISA, l’agenzia governativa statunitense per la cybersicurezza, che ha inserito CopyFail nel catalogo delle vulnerabilità note e sfruttate attivamente. Per le agenzie federali americane è stato fissato un termine perentorio al 15 maggio per l’applicazione delle patch, una scadenza che dovrebbe servire da guida anche per il settore privato europeo e italiano.

vulnerabilità Linux

Crediti: Shutterstock

Quando la CISA si muove con tale velocità, significa che i segnali provenienti dai centri di monitoraggio indicano tentativi di intrusione reali, non semplici test di laboratorio. Microsoft ha confermato questo scenario, rilevando attraverso i sistemi di telemetria di Defender i primi segnali di attività sospette che suggeriscono una corsa agli armamenti tra i difensori che cercano di aggiornare i sistemi e i threat actor che tentano di colpire prima che le difese vengano alzate.

Per quanto riguarda la gestione del rischio aziendale, CopyFail rappresenta anche un moltiplicatore di minacce. Trattandosi di un attacco locale che non richiede l’interazione dell’utente, qualsiasi compromissione minore, come un accesso iniziale ottenuto tramite phishing o una vulnerabilità in un’applicazione web, può essere istantaneamente elevata a un disastro sistemico.

Un malintenzionato che sia riuscito a mettere piede in un container o in una macchina virtuale può ora bypassare ogni restrizione e muoversi lateralmente nell’intera infrastruttura con la massima libertà d’azione. Questa “chiave universale” per i privilegi di root rende obsoleti i vecchi modelli di difesa basati sulla semplice segmentazione degli utenti se il substrato del kernel non viene messo in sicurezza.

Il meccanismo tecnico alla base della falla tocca le corde più sensibili delle operazioni crittografiche del sistema. Il kernel Linux, nel tentativo di ottimizzare le prestazioni, ha permesso involontariamente una zona d’ombra nella gestione della memoria cache durante i processi di cifratura. È un errore di design che trasforma una funzione di ottimizzazione in un’arma a doppio taglio.

Le principali distribuzioni hanno rilasciato correzioni in tempi record, ma la sfida per i responsabili IT del settore B2B rimane la distribuzione capillare di questi aggiornamenti in ambienti di produzione critici, dove il riavvio dei server deve essere pianificato con estrema attenzione.

(Immagine in apertura: Shutterstock)