Allarme Linux: la falla "Copy Fail" concede i permessi di Root in un istante

Un'ombra lunga quasi dieci anni si è abbattuta sulla sicurezza del mondo Linux. È stata scoperta una vulnerabilità critica, denominata Copy Fail (tracciata come CVE-2026-31431), che permette di scalare i privilegi di sistema fino a diventare "root" con una semplicità disarmante. La falla, presente nel kernel fin dal 2017, si distingue per la sua incredibile efficacia: un minuscolo script Python da meno di 1 KB è sufficiente per prendere il controllo totale della macchina.

Le radici del problema: un'ottimizzazione di troppo

Il difetto risiede nel modulo authencesn, parte integrante del sistema di crittografia AEAD del kernel Linux. Tutto nasce da una modifica introdotta anni fa per velocizzare le operazioni crittografiche: per evitare sprechi di memoria, era stata eliminata la separazione tra i buffer di ingresso e di uscita dei dati.

Questa scelta progettuale ha creato un varco fatale. In determinate condizioni, il sistema permette una scrittura di 4 byte oltre i limiti consentiti, andando a colpire la page cache del kernel. Poiché la page cache è lo specchio in memoria dei file archiviati sul disco, modificarla equivale a manipolare i file binari di sistema mentre sono in esecuzione.

Perché Copy Fail è così pericoloso?

A differenza di altre celebri vulnerabilità del passato (come Dirty COW), Copy Fail non si basa su errori di sincronizzazione casuali (race conditions). È un exploit deterministico:

• Affidabilità Totale: Se il sistema è vulnerabile, l'attacco riesce al primo colpo nel 100% dei casi.

• Invisibilità: Non lasciando tracce persistenti sul disco rigido (la modifica avviene solo in RAM), le analisi forensi tradizionali faticano a rilevare l'intrusione.

• Universale: Funziona su distribuzioni moderne come Ubuntu 24.04, RHEL 10.1 e Amazon Linux 2023 senza bisogno di adattare il codice.

Come proteggersi: patch e mitigazioni

La soluzione definitiva è l'aggiornamento del kernel. Il commit correttivo (a664bf3d603d) elimina l'ottimizzazione rischiosa e ripristina la sicurezza dei buffer.

Per gli amministratori di sistema che non possono riavviare immediatamente i server, esistono due contromisure efficaci:

1. Disattivare il modulo algif_aead: La maggior parte delle applicazioni (che usano OpenSSL) non ne risente.

2. Utilizzare seccomp: Configurare il sistema per bloccare la creazione di socket AF_ALG, impedendo alla radice l'esecuzione dello script malevolo.

Sebbene Copy Fail richieda un accesso locale iniziale (non è un exploit remoto diretto), la sua capacità di trasformare un utente comune in un amministratore supremo in pochi secondi la rende una delle minacce più serie degli ultimi anni per l'ecosistema Linux.