Dopo la recente vulnerabilità “Copy Fail” di cui vi avevo parlato in questo articolo, emerge ora una seconda falla soprannominata “Copy Fail 2” o “Dirty Frag”, una vulnerabilità del kernel Linux che potrebbe consentire a un attaccante locale di ottenere privilegi root su moltissime distribuzioni moderne. (qui trovate altri dettagli)
Dalla prima “Copy Fail” a “Dirty Frag”
La prima vulnerabilità “Copy Fail” aveva attirato l’attenzione della community perché permetteva l’escalation dei privilegi sfruttando problematiche nel sottosistema kernel Linux. Adesso la situazione si complica ulteriormente con una seconda vulnerabilità che, secondo diversi ricercatori, potrebbe essere persino più ampia e difficile da mitigare.
Perché “Copy Fail 2” è preoccupante
La vulnerabilità colpisce il networking stack Linux e alcuni moduli collegati alla gestione IPSec e dei frammenti di rete. A differenza della prima “Copy Fail”, questa nuova falla non dipende dal modulo algif_aead, il che rende inefficaci alcune mitigazioni temporanee adottate negli ultimi giorni dagli amministratori di sistema.
L’aspetto più critico è che un utente locale potrebbe ottenere privilegi root in modo relativamente affidabile, compromettendo completamente il sistema.
In scenari cloud o server condivisi, un attacco di questo tipo potrebbe consentire:
- evasione da container;
- compromissione di host Kubernetes;
- accesso completo ai server;
- bypass di meccanismi di sicurezza;
- persistenza sul sistema.
Un problema esploso prima delle patch
Come già accaduto con la precedente vulnerabilità, anche in questo caso la divulgazione pubblica avrebbe anticipato la distribuzione delle patch complete da parte delle principali distribuzioni Linux.
Questo significa che dettagli tecnici ed exploit proof-of-concept hanno iniziato a circolare quando molti sistemi erano ancora vulnerabili.
Le mitigazioni temporanee consigliate
In attesa degli aggiornamenti ufficiali del kernel, gli esperti di sicurezza suggeriscono alcune mitigazioni temporanee.
Fra queste:
- disabilitare i moduli kernel:
esp4esp6rxrpc
- limitare l’accesso locale agli utenti;
- aggiornare immediatamente i kernel disponibili;
- rafforzare il monitoraggio dei processi;
- controllare attentamente ambienti containerizzati.
Molte distribuzioni rolling release stanno già distribuendo fix preliminari, mentre le distro enterprise stanno lavorando a backport delle patch di sicurezza.
Linux resta sicuro, ma la superficie d’attacco cresce
Nonostante questi episodi, Linux continua a essere uno dei sistemi operativi più sicuri e trasparenti disponibili oggi. Tuttavia, la crescente complessità del kernel, l’adozione massiccia di container e l’espansione del cloud computing stanno aumentando sensibilmente la superficie di attacco.
Per gli amministratori di sistema il consiglio resta sempre lo stesso:
- aggiornare il kernel il prima possibile;
- applicare mitigazioni temporanee;
- limitare l’accesso locale;
- monitorare attività sospette;
- mantenere hardening e policy di sicurezza aggiornate.
La sicurezza del kernel Linux rimane un bersaglio centrale per i ricercatori e purtroppo anche per gli attaccanti.
