Una vulnerabilità nel kernel Linux scoperta con l'aiuto dell'AI consente a qualunque utente locale di diventare amministratore. Colpisce tutte le distribuzioni dal 2017. Patch disponibili, ma la finestra di rischio è ancora aperta.
Copy Fail: come 732 byte di Python mettono in ginocchio Linux
Immagina di essere seduto al tuo computer con Ubuntu, Fedora o qualunque altra distribuzione Linux usata negli ultimi sette anni. Un collega, un amico, o chiunque abbia accesso fisico al tuo account utente — anche senza privilegi speciali — potrebbe eseguire uno script Python di meno di un kilobyte e ottenere il controllo totale della macchina. Non è fantascienza: è quello che fa Copy Fail, una vulnerabilità scoperta dai ricercatori di Theori e Xint.io che colpisce il kernel Linux in una forma o nell'altra dal 2017.
Chi
Theori è un'azienda di offensive security che sviluppa Xint Code, una piattaforma di pentesting basata su AI. I ricercatori hanno scoperto il bug utilizzando questo strumento per analizzare il sottosistema crittografico del kernel Linux. La vulnerabilità è stata segnalata al team di sicurezza del kernel il 23 marzo 2026, e le patch sono diventate disponibili entro una settimana.
Cosa è successo
La vulnerabilità, tracciata come CVE-2026-31431 con score CVSS 7.8 (rischio "alto"), è una falla logica nel modulo algif_aead del sottosistema crittografico del kernel. Il bug risale a agosto 2017, quando il team di Linux introdusse un'ottimizzazione "in-place" che riutilizzava lo stesso buffer per input e output, anziché mantenerli separati.
Ecco come funziona l'attacco: un utente non privilegiato può usare l'interfaccia socket AF_ALG (che espone le funzioni crittografiche del kernel dallo spazio utente) combinata con la system call splice() per scrivere 4 byte controllati nella page cache di qualunque file leggibile. Se questi 4 byte colpiscono un binario con il flag setuid-root (come /usr/bin/su), possono alterarne il comportamento all'esecuzione, concedendo all'attaccante privilegi root.
Il genio della cosa: il kernel non marca la pagina manipolata come "dirty" per la riscrittura su disco, quindi il file rimane apparentemente intatto. I controlli di checksum non rilevano nulla. Solo quando il file viene effettivamente accesso, la page cache modificata entra in gioco.
I ricercatori hanno testato con successo un exploit Python di 732 byte su:
- Ubuntu 24.04 LTS (kernel 6.17.0-1007-aws)
- Amazon Linux 2023 (kernel 6.18.8-9.213.amzn2023)
- RHEL 10.1 (kernel 6.12.0-124.45.1.el10_1)
- SUSE 16 (kernel 6.12.0-160000.9-default)
Secondo i ricercatori, lo script funziona su "ogni distribuzione Linux rilasciata dal 2017" con affidabilità del 100%.
C'è di più: poiché la page cache è condivisa tra tutti i processi su un sistema, la vulnerabilità consente anche escape da container Kubernetes, un aspetto che i ricercatori approfondiscono in un rapporto separato.
Perché è importante
Copy Fail rappresenta una delle più gravi vulnerabilità locali di privilege escalation scoperte negli ultimi anni, non tanto per la sofisticazione tecnica, quanto per la portata e l'affidabilità. A differenza di molti exploit che richiedono condizioni precise o timing critico, questo funziona in modo deterministico su miliardi di sistemi Linux in produzione.
L'impatto è particolarmente serio in ambienti multi-utente (server condivisi, ambienti cloud, laboratori universitari) e in infrastrutture containerizzate. Un attaccante che ottiene accesso a un singolo container potrebbe compromettere l'intero host.
Il fatto che sia stata scoperta con l'aiuto di AI-driven pentesting aggiunge una dimensione nuova al discorso sulla sicurezza: strumenti come Xint Code possono analizzare milioni di linee di codice in ore, trovando pattern che i ricercatori umani potrebbero perdere. Questo è il secondo caso di rilievo (dopo "Pack2TheRoot", un'altra vulnerabilità Linux scoperta con Claude di Anthropic) in cui l'AI rivela falle critiche.
Il precedente più vicino è Dirty Pipe (CVE-2022-0847), un'altra vulnerabilità della page cache che permetteva di sovrascrivere file read-only. Copy Fail è concettualmente simile, ma più elegante e universale.
Cosa aspettarsi
Le principali distribuzioni Linux hanno già rilasciato patch:
- Amazon Linux: advisory disponibile
- Debian: advisory disponibile
- Red Hat Enterprise Linux: advisory disponibile
- SUSE: advisory disponibile
- Ubuntu: advisory disponibile
Gli amministratori di sistema dovrebbero applicare gli aggiornamenti del kernel il prima possibile. La finestra di rischio rimane aperta per chi non ha ancora patchato.
Nel breve termine, osserva:
- Velocità di adozione delle patch: quanto rapidamente i provider cloud (AWS, Azure, Google Cloud) aggiornano le loro istanze di default
- Reazioni dei vendor di container: se Kubernetes e Docker pubblicheranno hardening guide specifiche
- Exploit in natura: se il PoC pubblico verrà incorporato in tool di exploit automatici
Nel medio termine, la scoperta solleva domande sulla qualità dei controlli di sicurezza nel kernel Linux. Sebbene il bug sia stato introdotto nel 2017, nessuno l'ha trovato per 9 anni. Questo suggerisce che anche il codice più critico può contenere falle logiche sottili che sfuggono ai review umani tradizionali.
Infine, il ruolo crescente dell'AI nella ricerca di vulnerabilità potrebbe accelerare il ciclo di scoperta-patch, ma anche creare una corsa agli armamenti: se i ricercatori usano AI per trovare bug, gli attaccanti faranno lo stesso.
📰 Fonti
- Reddit /r/technology — Copy Fail: Newly Discovered Vulnerability Allows Privilege Escalation To Root On All Major Linux Distros Since 2017
- heise.de — "Copy Fail": Linux root in all major distributions with 732 bytes of Python
- heise.de — „Pack2TheRoot“: Security vulnerability affects several Linux distributions
- bleepingcomputer.com — New Linux 'Copy Fail' flaw gives hackers root on major distros
- thehackernews.com — New Linux 'Copy Fail' Vulnerability Enables Root Access on Major Distributions
- ostechnix.com — Copy Fail: The 732-Byte Script That Roots Every Major Linux Systems
