Salta al contenuto principale

Allerta Kernel: Scoperta la Falla "Bad Epoll", i Privilegi Root sono a Rischio (anche su Android)

Inviato da tuxsa il
bad epoll

Non c'è un attimo di tregua in questa torrida prima settimana di luglio 2026 per gli amministratori di sistema e gli esperti di sicurezza del mondo open source. Se pensavamo che il rollout dei fix urgenti per la falla DirtyClone (CVE-2026-43503) e le recenti quattro vulnerabilità di GNU Guix avessero concesso un momento di respiro, la realtà del codice ci riporta bruscamente in prima linea.

È stata infatti appena divulgata una nuova e pesante vulnerabilità che colpisce il cuore del Kernel Linux, battezzata dagli esperti "Bad Epoll" (tracciata principalmente sotto il filone di CVE-2026-46242 e collegata a CVE-2026-43074). La falla permette a utenti locali malintenzionati e privi di privilegi speciali di scalare i permessi fino a ottenere il controllo totale della macchina come root. La minaccia, inoltre, si estende ben oltre i tradizionali server e PC desktop: i primi test confermano che l'exploit colpisce direttamente anche l'ecosistema Android.

Il sottosistema epoll (Event Poll) è uno dei componenti più cruciali del Kernel Linux per quanto riguarda la gestione efficiente delle operazioni di I/O scalabili, fondamentale per il funzionamento di server ad alte prestazioni e applicazioni di rete.

Secondo i primi bollettini tecnici diffusi nelle ultime ore, la falla risiede in una modifica introdotta nel codice di epoll nel lontano 2023. Per anni il bug è rimasto latente, fino a quando i moderni strumenti di analisi automatizzata e il lavoro dei ricercatori di sicurezza non ne hanno portato alla luce la pericolosità. Trattandosi di un difetto di logica interna deterministico nella gestione della memoria e del page cache (in modo simile a quanto visto con storici e devastanti bug come Dirty Pipe), l'exploit non necessita di vincere una "race condition", rendendo l'esecuzione dell'attacco estremamente affidabile ed efficace.

A rendere la situazione ancora più delicata è il coinvolgimento di Android. Poiché i dispositivi mobili si affidano direttamente a varianti stabili del Kernel Linux, il porting dell'exploit su architetture ARM e sistemi Android è attivamente in corso di verifica.

Per l'infrastruttura aziendale e i server cloud, il rischio è quello di un potenziale "container breakout": un utente malintenzionato o un'applicazione compromessa all'interno di un ambiente isolato o di un container potrebbe sfruttare Bad Epoll per evadere dalle restrizioni e assumere il controllo del server ospitante (host).

I principali maintainer del Kernel Linux e i team di sicurezza delle distribuzioni più blasonate (Red Hat, Canonical, Debian, SUSE) si sono già attivati per integrare le patch correttive nei rispettivi repository stabili. La raccomandazione per le prossime ore è immediata:

  1. Monitorare i Repository: Controllare costantemente la disponibilità di pacchetti kernel aggiornati per la propria distribuzione.

  2. Pianificare i Riavvii o Livepatch: Trattandosi di una vulnerabilità core, l'applicazione richiede il riavvio o l'uso di soluzioni enterprise come Livepatch.

  3. Restrizioni temporanee: Ove possibile, limitare l'accesso ai terminali locali o l'esecuzione di codice non fidato da parte di utenti non privilegiati.


La scoperta ravvicinata di falle come DirtyClone e Bad Epoll dimostra che il 2026 è l'anno della massima pressione sulla supply chain del software. Da un lato, scudi miliardari e IA (come i progetti Akrites e Lightwell) stanno cambiando il modo in cui blindiamo i repository; dall'altro, la trasparenza radicale dell'open source permette di scovare errori scritti anni fa e correggerli prima che si trasformino in disastri globali. La vera forza del software libero non è l'assenza di bug, ma la velocità atomica con cui la community globale si mobilita per neutralizzarli.