Una falla nel kernel Linux rimasta sepolta per quindici anni ha riacceso i riflettori su quanto sia complicato stanare i bug più insidiosi, quelli che si nascondono dietro meccanismi collaudati e usati ogni giorno da milioni di macchine. Il difetto, battezzato GhostLock e catalogato come CVE-2026-43499, permette a un utente locale di ottenere i privilegi di root e, in certi scenari, di scappare da un ambiente containerizzato fino a mettere le mani sul sistema host. Presente nel codice fin dal 2011, è passato inosservato per circa quindici anni.
Il componente coinvolto serve per la sincronizzazione tra thread. Un dettaglio tecnico, sì, ma con conseguenze parecchio serie. La scoperta racconta bene una cosa che gli addetti ai lavori conoscono da tempo, cioè che i bug logici dentro il kernel sono i più difficili da trovare, soprattutto quando riguardano funzioni consolidate e sotto stress da oltre dieci anni.
Dove nasce il problema con i futex
Il cuore della vulnerabilità sta nell’implementazione dei futex (fast userspace mutex) con supporto alla priority inheritance, una funzionalità pensata per gestire i problemi di inversione delle priorità nelle applicazioni che lavorano in parallelo. Secondo l’analisi dei ricercatori di Nebula Security, il guaio salta fuori durante una particolare sequenza di rollback nelle operazioni di locking. In quei frangenti il kernel libera una struttura dati che però risulta ancora referenziata altrove nel codice, generando una condizione di use-after-free.
Tradotto, il puntatore ormai invalido può essere riutilizzato dal kernel. E se qualcuno riesce a controllare bene questa situazione, può alterare il flusso di esecuzione e arrivare all’escalation dei privilegi. I ricercatori dicono di aver messo a punto un exploit affidabile, con un tasso di successo intorno al 97 per cento nei test di laboratorio e tempi di esecuzione di pochi secondi.
Per sfruttare GhostLock non serve avere privilegi amministrativi. Basta poter eseguire codice come un normale utente locale e, a operazione conclusa, si ottengono i privilegi di root sull’intero sistema. L’aspetto più delicato però riguarda gli ambienti containerizzati. Nella dimostrazione fornita, la falla consente di superare l’isolamento offerto dai namespace Linux ed effettuare una container escape, spalancando la porta alla compromissione dell’host. Il rischio si fa alto soprattutto nelle infrastrutture cloud e nei sistemi multi-tenant, dove più workload condividono lo stesso kernel.
Aggiornare resta l’unica strada
La correzione è finita nel ramo principale del kernel Linux nel mese di aprile del 2026 e viene distribuita a poco a poco dai manutentori delle varie distribuzioni. Attenzione però, perché una prima patch aveva introdotto un’altra vulnerabilità, poi sistemata e catalogata come CVE-2026-53166. Prima di dare per sicuro un sistema, quindi, meglio verificare che il kernel installato contenga entrambe le correzioni.
Non ci sono mitigazioni capaci di eliminare il problema senza aggiornare il kernel. Alcune opzioni di compilazione, come RANDOMIZEKSTACKOFFSET e STATICUSERMODEHELPER, possono rendere l’exploit meno affidabile, ma non impediscono lo sfruttamento vero e proprio della falla.
GhostLock è stata scovata con l’aiuto di VEGA, una piattaforma sviluppata da Nebula Security per analizzare in automatico il codice del kernel Linux con tecniche di intelligenza artificiale. Strumenti del genere stanno accelerando la scoperta di vulnerabilità anche in software considerato ormai maturo, perché riescono a passare al setaccio enormi quantità di codice e a individuare interazioni che l’auditing manuale fatica a cogliere.
Al momento della divulgazione non risultano campagne di attacco che sfruttano la falla. La presenza di un proof of concept funzionante, però, rende probabile un rapido interesse da parte di chi scrive malware e di chi commercia exploit, motivo per cui installare gli aggiornamenti disponibili dovrebbe diventare una priorità, in particolare sui sistemi esposti e nelle infrastrutture condivise.