Una vulnerabilità critica nel kernel Linux sfruttata attivamente
Una vulnerabilità ad alta gravità nel kernel Linux, identificata come CVE-2026-31431, viene attivamente sfruttata in natura dagli attaccanti. Secondo i ricercatori, chiunque abbia accesso locale autenticato può utilizzare questo difetto per ottenere il controllo totale di un sistema compromesso. La portata dell'impatto potenziale è vasta, poiché tutte le distribuzioni principali del kernel Linux sviluppate dal 2017 risultano vulnerabili.
La scoperta guidata dall'IA e le critiche alla divulgazione
La società di sicurezza Theori ha individuato la vulnerabilità, denominata "Copy Fail", utilizzando la propria piattaforma di penetration testing basata su intelligenza artificiale, Xint. Tuttavia, la divulgazione del difetto ha sollevato polemiche tra gli esperti di sicurezza. Theori ha pubblicato una descrizione del problema accompagnata da un proof-of-concept, ma il contenuto generato tramite IA è stato criticato per la mancanza di dettagli tecnici concreti e per l'eccessivo uso di termini altisonanti.
Il sito di divulgazione e il blog post ufficiali includevano anche un dominio vanity con contenuti generati dall'IA, contribuendo a diffondere FUD (paura, incertezza e dubbio) tra gli amministratori di sistema. Caitlin Condon, vicepresidente della ricerca sulla sicurezza di VulnCheck, ha sottolineato che, nonostante il difetto sia reale, la mancanza di chiarezza ha costretto i team di sicurezza a dedicare tempo prezioso per distinguere i fatti dalla narrativa allarmistica.
«L'exploit è reale e c'è motivo di preoccuparsi, ma è comprensibile che i team debbano ora validare ulteriormente per separare l'estrema FUD generata dall'IA dalla realtà tecnica».
I requisiti per lo sfruttamento e i limiti dell'attacco
Nonostante la gravità della vulnerabilità, gli esperti hanno evidenziato che l'accesso locale autenticato è un prerequisito fondamentale per sfruttarla. Questo significa che un attaccante deve già aver compromesso il sistema tramite un altro vettore di attacco o attraverso un accesso legittimo. Spencer McIntyre, ricercatore di sicurezza di Rapid7, ha spiegato:
«L'attaccante deve già avere una posizione nel sistema target, ottenuta tramite accesso legittimo o un altro exploit. Questo rappresenta un fattore limitante significativo, poiché la vulnerabilità deve essere abbinata a un altro metodo di compromissione».
Nonostante ciò, l'assenza di dati concreti sull'entità delle compromissioni rende difficile valutare l'impatto reale della vulnerabilità. La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto CVE-2026-31431 al proprio catalogo delle vulnerabilità sfruttate attivamente il 13 giugno 2025.
Le risposte di Theori e le implicazioni per la sicurezza
Theori ha riconosciuto di aver utilizzato l'IA sia per identificare la vulnerabilità che per redigere la documentazione di divulgazione. Tim Becker, ricercatore senior di sicurezza presso Theori, ha dichiarato:
«Abbiamo utilizzato l'IA per velocizzare la creazione del sito di divulgazione e del blog post, ma tutto il materiale è stato revisionato attentamente dal nostro team interno per garantire l'accuratezza».
La società ha inoltre deciso di non pubblicare ulteriori dettagli tecnici fino a quando la patch non sarà ampiamente applicata. Becker ha aggiunto:
«Aiutare gli utenti a comprendere l'impatto di un difetto di sicurezza è sempre una sfida per i ricercatori. Copy Fail consente un'elevazione banale dei privilegi nella maggior parte delle distribuzioni Linux desktop e server, con implicazioni anche per la containerizzazione, inclusi i sistemi Kubernetes».
Distribuzioni Linux interessate
- Ubuntu
- Debian
- Red Hat Enterprise Linux
- Fedora
- SUSE Linux Enterprise
- Arch Linux
- Alpine Linux
Consigli per gli amministratori di sistema
Gli esperti raccomandano di applicare tempestivamente le patch rilasciate dalle principali distribuzioni Linux. Inoltre, è fondamentale monitorare attentamente i sistemi per rilevare eventuali attività sospette, soprattutto in ambienti con accesso locale autenticato. La gestione dei privilegi e l'isolamento dei container rappresentano misure aggiuntive per mitigare il rischio.
Articoli correlati
ArXiv vieta ai ricercatori per un anno se pubblicano lavori generati da AI
ArXiv, the open-access repository of preprint academic research, will ban authors of papers for a year if they submit obviously AI-generated work. Lat...
Dietro le quinte: novità musicali e un errore clamoroso
This is Behind the Blog, where we share our behind-the-scenes thoughts about how a few of our top stories of the week came together. This week, we dis...
Nuova vulnerabilità zero-day di Cisco sfruttata attivamente: gruppo di minaccia persistente colpisce SD-WAN
Attackers returned once again to a common target with a massive user base by exploiting a max-severity zero-day vulnerability affecting Cisco Catalyst...
L'IA avanzata rivoluzionerà la guerra, avverte un alto ufficiale del Pentagono
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
Cybersecurity: l'identità digitale diventa cruciale nell'era dell'IA secondo la Casa Bianca
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
Foxconn subisce un attacco informatico: ransomware Nitrogen colpisce stabilimenti nordamericani
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
App di analisi delle feci con IA: in vendita un database con 150mila immagini di utenti
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...
AI supera ogni benchmark: i nuovi modelli autonomi rivoluzionano la cybersecurity
Two of the most advanced artificial intelligence models — Anthropic’s Claude Mythos Preview and OpenAI’s GPT-5.5 — have significantly surpassed the al...