Linux kernel page cache LPE: vulnerabilità CopyFail, Fragnesia e DirtyDecrypt
Analisi delle vulnerabilità CopyFail (CVE-2026-31431), Fragnesia e DirtyDecrypt nel kernel Linux e le relative strategie di mitigazione.
Contenuto
Punti chiave
- La vulnerabilità CopyFail (CVE-2026-31431) permette l'escalation root tramite la scrittura di 4 byte nella page cache.
- Un exploit Python di 732 byte colpisce le principali distribuzioni (Ubuntu, RHEL, Debian) senza necessità di modifiche.
- Fragnesia (CVE-2026-46300) e DirtyDecrypt sfruttano bug logici per corrompere file read-only in memoria RAM.
- La CISA ha ordinato il patching di CopyFail entro il 15 maggio 2026 a seguito di evidenze di sfruttamento in the wild.
Il kernel Linux affronta una crisi legata alla gestione della page cache. Una serie di vulnerabilità di local privilege escalation (LPE), denominate CopyFail (CVE-2026-31431), Fragnesia (CVE-2026-46300) e DirtyDecrypt, ha dimostrato come la corruzione della memoria volatile possa garantire accesso root deterministico. Questi bug non alterano i file fisici su disco, eludendo i tradizionali sistemi di monitoraggio dell'integrità.
Il problema risiede nel modo in cui il kernel gestisce le operazioni di copia in-place e il sottosistema crittografico, utilizzando ottimizzazioni risalenti al 2017. La gravità è confermata dalla rapidità di pubblicazione degli exploit e dall'inserimento di CopyFail nei cataloghi delle minacce attive. La natura di queste falle rende vulnerabili gran parte delle infrastrutture server e cloud basate su distribuzioni Linux moderne.
CopyFail (CVE-2026-31431): l'impatto del modulo AF_ALG
Il 29 aprile 2026 è stata divulgata CopyFail (CVE-2026-31431), una LPE deterministica nel sottosistema crittografico AF_ALG. Il bug, identificato nel modulo algif_aead, deriva dal commit 72548b093ee3 che introduceva un'ottimizzazione per la scrittura in-place. La vulnerabilità permette a un utente locale non privilegiato di innescare un errore combinando l'interfaccia AF_ALG con la system call splice().
Tecnicamente, CopyFail consente di scrivere quattro byte controllati nella page cache oltre la regione assegnata. Questo margine permette di corrompere la cache di binari critici setuid-root come /usr/bin/su. Manipolando questi byte, l'attaccante devia il flusso di esecuzione per ottenere una shell root. Palo Alto Networks Unit 42 descrive questa minaccia come una delle più severe degli ultimi anni per l'ecosistema Linux.
L'efficacia della vulnerabilità è supportata da un Proof of Concept (PoC) in Python di soli 732 byte. Lo script utilizza esclusivamente librerie standard e funziona su Ubuntu, RHEL, Debian, SUSE, Amazon Linux e AlmaLinux con kernel versioni 4.14-6.19.12. Il 1 maggio 2026, la CISA ha aggiunto la falla al catalogo delle vulnerabilità sfruttate, imponendo il patching federale entro il 15 maggio.
Fragnesia e DirtyDecrypt: evoluzione della corruzione page cache
Il 14 maggio 2026 è stata rivelata Fragnesia (CVE-2026-46300), con score CVSS 7.8, che colpisce il sottosistema XFRM ESP-in-TCP. Si tratta di un bug logico che consente scritture arbitrarie nella page cache di file originariamente marcati come read-only. Wiz ha confermato che Fragnesia appartiene alla stessa classe di attacchi di CopyFail e DirtyFrag, sfruttando la memoria volatile per bypassare i permessi del filesystem.
Parallelamente è emersa DirtyDecrypt (o DirtyCBC), segnalata dal team V12 il 9 maggio 2026. Questa vulnerabilità interessa il modulo rxgk e colpisce distribuzioni come Fedora, Arch e openSUSE Tumbleweed, purché sia abilitata la configurazione CONFIG_RXGK. I maintainer hanno specificato che DirtyDecrypt è un duplicato di CVE-2026-31635, già patchata in mainline il 25 aprile 2026, ma il PoC pubblico mantiene alto il rischio.
Questi attacchi sono particolarmente insidiosi per la loro capacità di evasione. Come osservato dagli esperti di Theori (citati dal ricercatore Bruce Schneier):
"The file on disk is never modified. AIDE, Tripwire and checksum-based monitoring see nothing."Questa caratteristica rende invisibile l'escalation ai controlli di integrità classici, poiché la discrepanza tra binario su disco e firma digitale non viene mai generata durante l'esecuzione corrotta in RAM.
Il mercato degli exploit e la proposta del Killswitch
L'interesse per queste LPE è testimoniato dai mercati underground. ThreatMon ha riportato che l'attore 'berz0k' ha messo in vendita un exploit zero-day Linux per 170.000 dollari. Sebbene non sia confermato il legame diretto con Fragnesia, il prezzo riflette il valore strategico di exploit deterministici capaci di colpire ambienti aziendali. La successione di queste falle ha evidenziato vulnerabilità strutturali nei cicli di revisione del codice kernel.
La rottura dell'embargo informativo relativo a DirtyFrag da parte di Bruce Schneier ha generato tensioni nella comunità dei maintainer, portando Sasha Levin a proporre l'introduzione di un "Killswitch". Questo meccanismo permetterebbe agli amministratori di disabilitare a runtime sottosistemi vulnerabili senza attendere il riavvio richiesto da una patch. Tale soluzione mira a ridurre la finestra di esposizione tra la scoperta del bug e la distribuzione del fix.
Cosa fare adesso
La misura prioritaria per mitigare CopyFail (CVE-2026-31431), Fragnesia (CVE-2026-46300) e DirtyDecrypt è l'aggiornamento immediato del kernel alla versione più recente. Per CopyFail, è necessario superare la versione 6.19.12 o applicare i backport specifici per il modulo algif_aead forniti dai vendor della distribuzione in uso. La priorità deve essere data ai sistemi con utenti locali non fidati o servizi esposti.
In attesa delle patch, è possibile attuare contromisure specifiche. Per DirtyDecrypt, gli amministratori devono verificare se il modulo rxgk è attivo controllando la variabile CONFIG_RXGK; se non necessario, il modulo va disabilitato. Per mitigare i PoC basati su AF_ALG, si consiglia di restringere l'accesso a tali interfacce tramite policy SELinux o AppArmor, limitando la capacità di un utente non privilegiato di invocare le chiamate vulnerabili.
Per quanto riguarda le soluzioni di terze parti, i maintainer di CloudLinux hanno dichiarato: "Customers who have already applied the Dirty Frag mitigation need no further action until patched kernels are released". È fondamentale non fare affidamento su strumenti di checksumming come AIDE o Tripwire per rilevare queste intrusioni, focalizzando invece il monitoraggio sul comportamento dei processi e sulla gestione rigorosa degli accessi al sistema.
Conclusioni
Le vulnerabilità della page cache rappresentano una minaccia critica per la stabilità della sicurezza Linux nel 2026. Il carattere deterministico di CopyFail e la versatilità di Fragnesia confermano che le ottimizzazioni delle prestazioni possono nascondere rischi logici profondi. La reazione della CISA indica che la protezione di queste infrastrutture non è più rimandabile, data la disponibilità di exploit pronti all'uso.
Mentre la discussione sul "Killswitch" prosegue, la responsabilità rimane legata alla prontezza del ciclo di patch. Gli amministratori devono monitorare i bollettini ufficiali per CVE-2026-31431 e CVE-2026-46300, consapevoli che il tempo a disposizione per la messa in sicurezza è dettato dalla velocità di adozione degli exploit da parte degli attori malevoli.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://unit42.paloaltonetworks.com/cve-2026-31431-copy-fail/
- https://www.schneier.com/blog/archives/2026/05/copy-fail-linux-vulnerability.html
- https://www.bleepingcomputer.com/news/security/exploit-available-for-new-dirtydecrypt-linux-root-escalation-flaw/
- https://thehackernews.com/2026/05/new-fragnesia-linux-kernel-lpe-grants.html
- https://www.schneier.com/blog/archives/2026/05/how-dangerous-is-anthropics-mythos-ai.html
- https://thehackernews.com/2026/05/weekly-recap-linux-rootkit-macos-crypto.html