Pedit COW e DirtyClone: 2 exploit Linux ottengono root corrompendo la page cache

🛡️ Executive Summary

• Le vulnerabilità **CVE-2026-46331** e **CVE-2026-43503** consentono escalation locale a root corrompendo la page cache del kernel Linux.
• Gli exploit modificano binari **setuid** esclusivamente in memoria, aggirando i controlli di integrità basati sui file presenti su disco.
• Le mitigazioni prevedono l’aggiornamento del kernel, la disattivazione dei namespace utente non privilegiati e il controllo dei moduli vulnerabili.

Due nuove vulnerabilità del kernel Linux introducono una tecnica particolarmente sofisticata di privilege escalation che consente a un utente locale privo di privilegi amministrativi di ottenere una shell root senza modificare alcun file presente sul disco. Gli exploit, denominati Pedit COW e DirtyClone, appartengono alla stessa famiglia di vulnerabilità che negli ultimi anni ha interessato la gestione della page cache e dei frammenti utilizzati dagli socket buffer, sfruttando errori nella condivisione della memoria anziché tradizionali bug di corruzione dei file. Il risultato è la possibilità di alterare esclusivamente la copia in memoria di eseguibili privilegiati come /bin/su o /usr/bin/su, inserendo payload che vengono eseguiti con privilegi elevati senza lasciare tracce permanenti sul filesystem. Questa caratteristica rende entrambe le vulnerabilità particolarmente insidiose, soprattutto negli ambienti multiutente, nelle infrastrutture cloud e nei sistemi che fanno affidamento sui controlli di integrità dei file per individuare eventuali compromissioni.

Pedit COW sfrutta una scrittura fuori dai limiti nel traffic control

La vulnerabilità CVE-2026-46331, nota come Pedit COW, interessa il sottosistema traffic control del kernel Linux e deriva da un errore nella gestione dell’azione act_pedit, utilizzata per modificare gli header dei pacchetti durante l’elaborazione del traffico di rete. Una verifica insufficiente dei limiti di scrittura consente al kernel di operare direttamente su pagine condivise della page cache invece di creare copie private della memoria come previsto dal meccanismo di Copy-on-Write. L’attaccante può così alterare esclusivamente la rappresentazione in memoria di un binario setuid root, inserendo un payload malevolo che verrà eseguito alla successiva apertura dell’eseguibile privilegiato. Il file originale rimane completamente invariato sul disco, rendendo inefficaci i controlli di integrità basati su checksum o confronti del filesystem. Per sfruttare l’exploit devono essere soddisfatte due condizioni: la possibilità di caricare il modulo act_pedit e la disponibilità dei namespace utente non privilegiati, configurazione presente di default in numerose installazioni di Red Hat Enterprise Linux e Debian. Alcune configurazioni di Ubuntu mitigano parzialmente il percorso di attacco attraverso AppArmor, ma la vulnerabilità del kernel rimane comunque presente.

DirtyClone estende la famiglia degli exploit DirtyFrag

La seconda vulnerabilità, identificata come CVE-2026-43503 e denominata DirtyClone, rappresenta un’evoluzione della famiglia di exploit DirtyFrag. Il problema risiede nella funzione __pskb_copy_fclone(), responsabile della clonazione dei socket buffer, che non propaga correttamente il flag SKBFL_SHARED_FRAG. Tale indicatore segnala al kernel che una determinata porzione di memoria è condivisa con un file presente sul disco e non deve quindi essere modificata direttamente.

Quando il flag viene perso durante la clonazione, il kernel interpreta erroneamente quella memoria come privata e consente operazioni di scrittura in-place durante attività come la decrittazione dei pacchetti IPsec. L’attaccante può sfruttare questo comportamento per associare un binario privilegiato alla memoria utilizzata dal pacchetto, forzare la clonazione del buffer e sovrascrivere selettivamente porzioni dell’immagine in memoria durante il processo di decrittazione. Anche in questo caso il file su disco rimane perfettamente integro mentre la copia residente nella page cache viene modificata con codice arbitrario, consentendo l’ottenimento di privilegi root al successivo avvio del programma compromesso senza produrre evidenze nei log del kernel.

Le distribuzioni Linux interessate e i requisiti di sfruttamento

Entrambe le vulnerabilità interessano versioni recenti del kernel Linux non ancora aggiornate con le patch correttive distribuite dai manutentori. Tra le distribuzioni coinvolte figurano Red Hat Enterprise Linux 8, 9 e 10, Debian 11, 12 e 13, oltre a diverse versioni di Ubuntu e Fedora. Lo sfruttamento richiede generalmente la disponibilità della capacità CAP_NET_ADMIN, che in molti ambienti può essere ottenuta indirettamente attraverso la creazione di namespace utente non privilegiati. Questa configurazione è particolarmente diffusa nei sistemi progettati per favorire l’isolamento delle applicazioni, come infrastrutture container, runner di Continuous Integration, ambienti multi-tenant e cluster Kubernetes. Sebbene alcune politiche di AppArmor implementate su Ubuntu limitino specifici percorsi di sfruttamento, il problema strutturale rimane presente fino all’installazione delle correzioni del kernel. Proprio la possibilità di combinare namespace utente e capacità di amministrazione della rete rende questi ambienti tra i più esposti alla compromissione.

Un nuovo capitolo nella famiglia delle vulnerabilità della page cache

Pedit COW e DirtyClone condividono lo stesso modello concettuale già osservato in vulnerabilità come DirtyFrag, Fragnesia e Copy Fail, tutte accomunate dalla possibilità di eseguire scritture su pagine della page cache che il kernel non possiede in maniera esclusiva. Il problema nasce dalla gestione dei frammenti utilizzati dagli socket buffer, dove ogni funzione che copia o trasferisce descrittori di memoria deve preservare correttamente il flag SKBFL_SHARED_FRAG. Quando questo contratto non viene rispettato, le ottimizzazioni zero-copy, introdotte per migliorare le prestazioni del networking, possono trasformarsi in primitive di scrittura arbitraria utilizzabili dagli attaccanti per modificare dati condivisi con file di sistema. Le correzioni sviluppate nel corso degli ultimi mesi hanno progressivamente eliminato singoli percorsi vulnerabili, ma la natura sistemica del problema ha richiesto numerosi interventi sul codice del kernel prima di arrivare a una soluzione più completa integrata nel ramo principale durante il mese di maggio 2026.

Le mitigazioni disponibili per ridurre il rischio

La misura di protezione più efficace consiste nell’installazione delle versioni aggiornate del kernel Linux distribuite dai rispettivi produttori. La correzione relativa a DirtyClone è stata integrata a partire da Linux v7.1-rc5 e successivamente retroportata nei principali rami LTS, mentre Debian, Ubuntu, Red Hat e altri distributori hanno pubblicato advisory dedicate e aggiornamenti specifici. In attesa dell’applicazione delle patch è possibile ridurre la superficie di attacco disabilitando i namespace utente non privilegiati tramite il parametro kernel.unprivileged_userns_clone=0, limitando così una delle principali condizioni necessarie allo sfruttamento. Un’ulteriore misura temporanea consiste nel disabilitare o inserire in blacklist moduli come esp4, esp6 e rxrpc, soluzione che può però influire sul funzionamento di IPsec e del file system distribuito AFS. Le organizzazioni che gestiscono server condivisi, piattaforme cloud, ambienti containerizzati o infrastrutture Kubernetes dovrebbero verificare con urgenza la presenza delle configurazioni vulnerabili e pianificare l’aggiornamento del kernel nel più breve tempo possibile.

Gli exploit invisibili mettono in discussione i controlli tradizionali

L’aspetto più preoccupante di Pedit COW e DirtyClone riguarda la capacità di compromettere esclusivamente la copia in memoria di un binario privilegiato senza alterare il corrispondente file memorizzato sul disco. Questo comportamento consente agli exploit di aggirare numerosi strumenti di sicurezza basati sulla verifica dell’integrità del filesystem, che continuano a considerare autentici eseguibili in realtà già modificati nella page cache. L’assenza di modifiche permanenti rende inoltre più difficile individuare l’attacco durante le attività di analisi forense successive alla compromissione. La scoperta di queste vulnerabilità conferma come la superficie di attacco del kernel Linux continui a evolversi insieme alle ottimizzazioni introdotte per incrementare le prestazioni del sistema operativo. Per amministratori e responsabili della sicurezza diventa quindi essenziale mantenere aggiornati i kernel, limitare i privilegi concessi agli utenti locali e monitorare attentamente le configurazioni che consentono la creazione di namespace non privilegiati, soprattutto negli ambienti condivisi dove una singola escalation locale può compromettere l’intera infrastruttura.