“Copia Errore” – Vulnerabilità di escalation dei privilegi locali su Linux (CVE-2026-31431)

Riepilogo

Copy Fail è una vulnerabilità di escalation dei privilegi locali su Linux monitorata come CVE-2026-31431 che consente a un utente senza privilegi di ottenere l’accesso root corrompendo la cache di pagina di un binario setuid tramite l’abuso di AF_ALG and splice. Il difetto è presente nei kernel Linux distribuiti dal 2017 e colpisce tutte le principali distribuzioni. L’exploit richiede solo l’esecuzione di codice locale e non dipende dall’accesso alla rete. In termini pratici, il bug può anche essere utilizzato per evadere dai container e compromettere ambienti condivisi o gestiti da CI.

Indagine

I ricercatori di Xint Code hanno identificato un proof-of-concept di 732 byte in Python che sfrutta un difetto logico nel sottosistema crypto di Linux, specificamente in authencesn, e sfrutta AF_ALG socket per scrivere dati controllati dall’attaccante in una pagina della cache di pagina. L’exploit altera il binario setuid di destinazione in memoria piuttosto che su disco, consentendo all’attaccante di ottenere una vera shell root quando il binario viene eseguito. Il proof-of-concept pubblico è stato testato con successo su kernel utilizzati negli ambienti Ubuntu, Amazon Linux, RHEL e SUSE.

Mitigazione

La principale soluzione è applicare la patch del kernel che annulla l’ottimizzazione in-place algif_aead introdotta nel 2017 dal commit a664bf3d603d. I fornitori di Linux stanno già distribuendo versioni patchate. Come salvaguardia temporanea, gli amministratori possono inserire nella blacklist il algif_aead modulo attraverso modprobe e rimuoverlo dal kernel in esecuzione. Per carichi di lavoro non fidati, bloccare AF_ALG la creazione di socket con seccomp fornisce un ulteriore livello di protezione.

Risposta

I team di sicurezza dovrebbero immediatamente verificare le versioni del kernel e lo stato delle patch su tutti i sistemi Linux. I pacchetti kernel aggiornati o i backport del fornitore dovrebbero essere distribuiti il prima possibile. Dove non è possibile patchare immediatamente, i difensori dovrebbero inserire nella blacklist il algif_aead modulo ed implementare regole seccomp che bloccano AF_ALG l’uso di socket. Il monitoraggio dovrebbe anche coprire cambiamenti sospetti che coinvolgono binari setuid e modelli di esecuzione che assomigliano a copy_fail_exp.py o comportamenti di exploit correlati.