// 3 CVE · 4 EXPLOIT NELLE ULTIME 24H
CVE-2026-43499 consente escalation a root e escape da container su quasi ogni distribuzione Linux dal 2011. Nebula Security ha pubblicato il PoC, premiato con 92.337

Nebula Security ha reso pubblica GhostLock (CVE-2026-43499), vulnerabilità nel kernel Linux presente dal 2011 e oggi sfruttabile con codice exploit rilasciato open source. Il bug permette a qualsiasi utente locale di ottenere privilegi root e di evadere da container con un'affidabilità del 97% nei test condotti dai ricercatori. La scoperta, avvenuta attraverso VEGA, tool di bug hunting basato su intelligenza artificiale, evidenzia come il codice legacy del kernel — in questo caso il sottosistema futex per la gestione dei thread — stia diventando terreno fertile per modelli automatizzati di analisi.

Punti chiave
  • GhostLock è CVE-2026-43499, use-after-free nel sottosistema rtmutex/futex del kernel Linux, con presenza nel codice dal 2011.
  • L'exploit sviluppato da Nebula Security raggiunge il 97% di affidabilità e consente sia escalation a root che escape da container.
  • Google ha assegnato 92.337 dollari attraverso il programma kernelCTF per la segnalazione della vulnerabilità.
  • La patch originale, applicata in aprile 2026 con commit 3bfdc63936dd, ha introdotto un bug secondario (CVE-2026-53166) con cleanup ancora in corso a inizio luglio 2026.

Il meccanismo: un use-after-free nel cuore della sincronizzazione dei thread

Il bug risiede nella routine remove_waiter(), chiamata durante il rollback del proxy-lock in futex_requeue(). In condizioni di errore, il codice opera su current anziché su waiter::task per l'operazione di dequeue, omettendo l'acquisizione del spinlock pi_lock. Il risultato è un puntatore pi_blocked_on dangling, che successivamente viene dereferenziato causando corruzione di memoria riutilizzabile.

Secondo il record CVE ufficiale pubblicato da kernel.org come CNA, il vettore di attacco è locale (AV:L), con complessità di attacco bassa (AC:L) e privilegi minimi richiesti (PR:L). Il punteggio CVSS 3.1 è 7.8, classificato HIGH: non critical, ma esclusivamente per il requisito di accesso locale. L'impatto completo copre riservatezza, integrità e disponibilità (C:H/I:H/A:H).

Il National Vulnerability Database indica come interessate le versioni del kernel Linux dal 2.6.39 al 7.0.4, un arco temporale di circa 15 anni che comprende praticamente ogni distribuzione mainstream spedita nel periodo.

Dalla scoperta AI al PoC pubblico: la catena di weaponizzazione

Nebula Security ha trovato GhostLock attraverso VEGA, il proprio sistema di bug hunting basato su modelli di intelligenza artificiale. L'azienda ha trasformato la vulnerabilità in un exploit funzionante che, nei test interni, completa l'escalation a root in circa cinque secondi con affidabilità del 97%. Il codice è stato pubblicato, rendendo la vulnerabilità weaponizzabile da chiunque disponga delle competenze tecniche per eseguirlo.

Il team ha inoltre dimostrato un vettore di attacco remoto completo attraverso la catena IonStack. GhostLock ne costituisce la seconda metà; la prima è CVE-2026-10702, una vulnerabilità in Firefox. Nebula ha eseguito con successo l'intera catena da un singolo tap su link malevolo fino al controllo root, con target Firefox su Android. Questa dimostrazione trasforma un bug tecnicamente "locale" in vettore di compromissione remota attraverso l'ingegneria delle applicazioni utente.

"any logged-in user take full root control of a machine that has not been patched" — Nebula Security

La distribuzione della patch: bug nella correzione e finestre di esposizione

Il codice vulnerabile è stato corretto in aprile 2026 attraverso il commit 3bfdc63936dd. Tuttavia, la patch originale ha introdotto una regressione separata, successivamente identificata come CVE-2026-53166 con CVSS 5.5 MEDIUM, che ha richiesto ulteriori interventi di cleanup. A inizio luglio 2026 questa seconda fase di correzione era ancora in corso.

La situazione di patching varia significativamente tra le distribuzioni. Ubuntu aveva corretto solo le release più recenti; le versioni LTS 24.04, 22.04 e 20.04 risultavano ancora vulnerabili o in stato di aggiornamento a inizio luglio 2026. Red Hat ha dichiarato tutte le proprie versioni di RHEL (dalla 6 alla 10) come "not affected", in quanto il codice vulnerabile non è presente nei propri kernel. Questa dichiarazione, tuttavia, non estende il raggio di protezione ad altre distribuzioni o build personalizzate.

Il dossier non specifica quando Ubuntu completerà il rilascio delle correzioni per le LTS citate, né se il cleanup di CVE-2026-53166 sia stato finalizzato upstream al momento della notizia.

Cosa fare adesso

  • Verificare lo stato del kernel: controllare se la distribuzione in uso abbia integrato il commit 3bfdc63936dd o patch successive che includano il fix completo per CVE-2026-43499.
  • Prioritizzare sistemi multi-tenant: server condivisi, ambienti cloud e piattaforme CI/CD dove utenti non privilegiati sono la norma rappresentano il profilo di rischio più elevato per l'escalation locale.
  • Monitorare le opzioni di build: RANDOMIZE_KSTACK_OFFSET e STATIC_USERMODE_HELPER sono mitigazioni documentate nella fonte, non sostitutivi della patch; verificarne l'attivazione come misura transitoria dove il fix non è ancora disponibile.
  • Isolare Firefox/Android in scenari ad alto rischio: la catena IonStack dimostrata da Nebula collega CVE-2026-10702 (Firefox) a GhostLock; il dossier non documenta mitigazioni specifiche per questo vettore combinato.

Il paradosso della sicurezza kernel: quando l'IA ricodifica il passato

GhostLock non è un errore di codifica recente. È sopravvissuto a quindici anni di revisioni, audit e deployment su miliardi di dispositivi. La sua emersione attraverso uno strumento automatizzato di intelligenza artificiale segnala uno spostamento strutturale nella threat model del kernel legacy: ciò che gli analisti umani hanno ripetutamente sorvolato diventa ora accessibile a modelli che scansionano pattern su scale temporali incompatibili con i cicli di revisione umani.

La vicenda solleva interrogativi sulla sostenibilità del mantenimento del codice storico in un ecosistema dove l'automazione della scoperta supera quella della correzione. La patch di GhostLock ha richiesto mesi per propagarsi; nel frattempo, un bug secondario ha complicato ulteriormente la distribuzione. Questa asincronia — tra velocità di scoperta AI, lentezza di patching e fragilità delle correzioni — definisce il nuovo perimetro di rischio per l'infrastruttura Linux.

Nessun exploit in-the-wild è stato rilevato al momento della divulgazione. La pubblicazione del PoC da parte di Nebula ha però compresso la finestra di reazione a zero per le organizzazioni che non avevano già processi di aggiornamento kernel in corso.

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. thehackernews.com
  2. bleepingcomputer.com
  3. nvd.nist.gov
  4. access.redhat.com