Un sistema di intelligenza artificiale specializzato nella ricerca di vulnerabilità ha individuato un difetto critico nel kernel Linux, rimasto invisibile agli analisti umani per un tempo che si misura in tre lustri. La scoperta, ribattezzata GhostLock e tracciata come CVE-2026-43499, riguarda un bug presente fin dal 2011 e capace di garantire, a qualunque utente locale non privilegiato, il pieno controllo root della macchina.

Cosa è stato scoperto

A individuare la falla è stato VEGA, lo strumento di ricerca automatizzata sviluppato da Nebula Security, che ha analizzato il codice sorgente del kernel scovando un difetto di tipo use-after-free (CWE-416) nel sottosistema dei mutex real-time (rtmutex), nello specifico nel meccanismo di "priority inheritance" dei futex — la funzione che evita che un processo a bassa priorità blocchi indefinitamente un processo urgente in attesa della stessa risorsa.

In sintesi, una funzione di pulizia del kernel (remove_waiter()) cancella per errore i riferimenti del thread sbagliato, lasciando un puntatore "fantasma" verso una porzione di memoria già liberata — da cui il nome GhostLock. Il difetto è stato introdotto con Linux 2.6.39, nel maggio 2011, ed è rimasto presente fino alla versione 7.1, pubblicata nell'aprile 2026.

Perché è rilevante che l'abbia trovata un'IA

Il dato che ha attirato più attenzione nella community della sicurezza non è tanto la gravità tecnica del bug, quanto il fatto che sia rimasto invisibile per quindici anni di revisioni, audit e analisi umane, per poi essere scovato da uno strumento automatizzato. Nebula Security ha inserito GhostLock in una catena di attacco più ampia, chiamata "IonStack", che parte da una vulnerabilità del motore JavaScript di Firefox (CVE-2026-10702, già corretta a giugno) per poi usare GhostLock come passaggio finale verso l'esecuzione di codice con privilegi di root — dimostrando concretamente il percorso dal semplice click su un link malevolo fino al controllo completo del dispositivo, inclusi test su Android.

Impatto

Secondo quanto riportato da Nebula, l'exploit sviluppato per GhostLock ha raggiunto un'affidabilità del 97%, con un tempo medio di compromissione di circa 5 secondi, e funziona anche per uscire da un container (Docker/Kubernetes) verso il sistema host — una caratteristica che lo rende particolarmente pericoloso per ambienti cloud e hosting condiviso. Il bug non richiede permessi speciali né configurazioni non standard: è sufficiente l'accesso locale, anche non privilegiato, disponibile ad esempio dopo la compromissione di un container, di una pipeline CI/CD o di un semplice account shell a basso privilegio.

La vulnerabilità ha un punteggio CVSS di 7,8 (High) — non "Critical" solo perché richiede un accesso locale preliminare, non essendo sfruttabile da remoto senza un altro vettore d'ingresso.

Per la scoperta, il team di Nebula Security ha ricevuto un compenso di 92.337 dollari attraverso il programma di bug bounty kernelCTF di Google.

Cosa fare

  • Aggiornare il kernel Linux alla versione corretta fornita dalla propria distribuzione (la patch upstream è il commit 3bfdc63936dd, incluso in Linux 7.1). Attenzione: una prima versione della patch ha introdotto un bug separato (CVE-2026-53166, poi corretto), quindi è importante verificare di avere l'aggiornamento definitivo e non solo quello iniziale.
  • Dare priorità a server condivisi multi-tenant, host cloud, container e runner CI/CD, dove il rischio di un "punto d'appoggio" locale da parte di un attaccante è più concreto.
  • Dove l'aggiornamento immediato non è possibile, valutare filtri seccomp che blocchino le operazioni futex di priority-inheritance nei container, pur sapendo che si tratta di una mitigazione e non di una correzione reale del problema.
  • Non sottovalutare il rischio anche in assenza di sfruttamento attivo confermato: il codice exploit è pubblico, quindi la finestra di rischio si misura in giorni, non settimane.

Fonti: The Hacker News, TechTimes, Cyber Security News, TuxCare, AlmaLinux, writeup tecnico originale "IonStack part II: GhostLock" di Nebula Security.