GhostLock, una falla nel kernel Linux rimasta nascosta per 15 anni: possibile ottenere i privilegi di root

GhostLock, CVE-2026-43499, è una vulnerabilità del kernel Linux presente dal 2011 che consente escalation a root e fuga dai container. Gli aggiornamenti del kernel sono essenziali.
GhostLock, una falla nel kernel Linux rimasta nascosta per 15 anni: possibile ottenere i privilegi di root

Una vulnerabilità presente nel kernel Linux fin dal 2011 potrebbe consentire a un utente locale di ottenere privilegi di root e, in alcuni scenari, di uscire da un ambiente containerizzato compromettendo anche il sistema host. Il problema, identificato come CVE-2026-43499 e ribattezzato GhostLock, interessa un componente del kernel utilizzato per la sincronizzazione tra thread ed è rimasto inosservato per circa quindici anni.

La scoperta evidenzia ancora una volta quanto sia difficile individuare bug logici all’interno del kernel Linux, soprattutto quando coinvolgono meccanismi consolidati e sottoposti a un utilizzo intensivo da oltre un decennio.

Il bug interessa i futex con priority inheritance

All’origine della vulnerabilità c’è l’implementazione dei futex (fast userspace mutex) con supporto alla priority inheritance, una funzionalità progettata per limitare i problemi di inversione delle priorità nelle applicazioni concorrenti.

Secondo l’analisi pubblicata dai ricercatori di Nebula Security, il difetto emerge durante la gestione di una particolare sequenza di rollback nelle operazioni di locking. In queste circostanze il kernel libera una struttura dati che risulta ancora referenziata da altre parti del codice, dando origine a una condizione di use-after-free.

Il puntatore ormai invalido può quindi essere riutilizzato dal kernel. Se opportunamente controllata, questa situazione consente di alterare il flusso di esecuzione e ottenere un’escalation dei privilegi.

I ricercatori affermano di aver sviluppato un exploit affidabile, con un tasso di successo di circa il 97% nei test di laboratorio e tempi di esecuzione di pochi secondi.

Impatto sui server e sugli ambienti containerizzati

Per sfruttare GhostLock non è necessario disporre di privilegi amministrativi: è sufficiente poter eseguire codice come un normale utente locale. Una volta completato l’attacco, l’aggressore ottiene privilegi di root sul sistema.

L’aspetto più delicato riguarda però gli ambienti containerizzati. Nella dimostrazione fornita dai ricercatori, la vulnerabilità permette infatti di superare l’isolamento offerto dai namespace Linux ed effettuare una container escape, aprendo la strada alla compromissione del sistema host.

Il rischio è particolarmente elevato nelle infrastrutture cloud e nei sistemi multi-tenant, dove più workload condividono lo stesso kernel.

Aggiornare il kernel è l’unica contromisura efficace

La correzione è stata integrata nel ramo principale del kernel Linux nell’aprile 2026 e viene progressivamente distribuita dai manutentori delle diverse distribuzioni.

Gli sviluppatori segnalano tuttavia che una prima patch aveva introdotto un’ulteriore vulnerabilità, successivamente corretta e catalogata come CVE-2026-53166. Prima di considerare un sistema protetto è quindi opportuno verificare che il kernel installato includa entrambe le correzioni.

Non sono note mitigazioni in grado di eliminare il problema senza aggiornare il kernel. Alcune opzioni di compilazione, come RANDOMIZE_KSTACK_OFFSET e STATIC_USERMODE_HELPER, possono ridurre l’affidabilità dell’exploit, ma non impediscono lo sfruttamento della vulnerabilità.

L’intelligenza artificiale cambia anche la ricerca delle vulnerabilità

GhostLock è stata individuata con l’ausilio di VEGA, una piattaforma sviluppata da Nebula Security per analizzare automaticamente il codice del kernel Linux mediante tecniche di intelligenza artificiale.

L’impiego di strumenti di questo tipo sta accelerando la scoperta di vulnerabilità in componenti software considerati maturi, permettendo di analizzare grandi quantità di codice e di individuare interazioni difficili da rilevare con le sole attività di auditing manuale.

Al momento della divulgazione non risultano campagne di attacco che sfruttano GhostLock. La disponibilità di un proof of concept funzionante rende tuttavia probabile un rapido interesse da parte degli autori di malware e degli operatori di exploit, motivo per cui l’installazione degli aggiornamenti disponibili dovrebbe essere considerata prioritaria, soprattutto sui sistemi esposti e nelle infrastrutture condivise.

Ti consigliamo anche

Link copiato negli appunti