Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime, Analisi Vulnerabilità e Intelligenza Artificiale
il pinguino di linux sta in mezzo a black hacker che vogliono prenderlo

BadEpoll: il nuovo zero-day che mette a rischio milioni di sistemi Linux e Android

5 Luglio 2026 19:16
In sintesi

Un exploit per il kernel di Linux e Android, denominato Bad Epoll (CVE-2026-46242), ha mostrato una percentuale di successo del 99% secondo il ricercatore Jaeyoung Jeong. La vulnerabilità è stata segnalata e colpisce il sottosistema epoll, utilizzato per monitorare file e connessioni di rete.

Nel kernel Linux è stata trovata una nuova vulnerabilità che trasforma un utente normale in root e può colpire non solo server e workstation. Si tratta di un raro bug in grado di effettuare l’escalation a root anche su Android.

Il bug si chiama BadEpoll ed è numerato CVE-2026-46242. Il ricercatore Jaeyoung Jeong ha trovato il bug nel sottosistema epoll e ha compilato un exploit funzionante e ha segnalato la vulnerabilità al programma kernelCTF di Google come zero-day.

Epoll in Linux, aiuta i programmi a monitorare più file, socket e connessioni di rete contemporaneamente. Questo meccanismo viene utilizzato da server, servizi di rete, browser e altri componenti di base dei sistemi Linux. Non esiste un modo per disabilitare epoll senza interrompere funzioni importanti, quindi non esiste una soluzione semplice per gli amministratori.

Advertising

L’unica opzione di protezione affidabile è installare una patch del kernel o un backport dalla distribuzione.

bug di sicurezza badepoll

Bad Epoll appartiene alla classe use-after-free e si verifica a causa di una competizione nel codice ep_remove. In una forma semplificata, due parti del kernel puliscono contemporaneamente lo stesso oggetto interno. Una parte libera la memoria e l’altra continua a lavorare con l’area liberata. Una collisione così breve consente a un utente malintenzionato di corrompere la memoria del kernel, ottenere letture di posizioni di memoria arbitrarie e quindi dirottare il controllo tramite la catena ROP per aprire una shell root.

L’affidabilità dell’attacco aggiunge un pericolo particolare.

La finestra di gara richiede circa sei istruzioni, ma l’exploit di Jeong prolunga il momento giusto e riprova senza mandare in crash il kernel. Sugli obiettivi dei test kernelCTF, il ricercatore ha ottenuto circa il 99% di esecuzioni riuscite per il kernel LTS e il 98% per Google COS.

L’exploit Android è ancora in lavorazione, ma il ricercatore stesso indica che i dispositivi che eseguono kernel 6.6 e versioni successive potrebbero essere adatti per ulteriori attacchi, mentre Pixel 8 e altri dispositivi che eseguono kernel 6.1 non sono interessati.

Advertising

La storia di Bad Epoll si distingue per un altro dettaglio. La stessa area di codice era già arrivata all’attenzione del modello Anthropic Mythos, che ha trovato un altro bug monitorato con il codice  CVE-2026-43074. Secondo Chon, il modello ha mancato Bad Epoll, probabilmente a causa della finestra temporale troppo stretta e delle deboli tracce di un errore di runtime.

Dopo che la prima vulnerabilità è stata risolta, l’errore Bad Epoll di solito non si attivava in KASAN, il principale rilevatore di errori di memoria nel kernel Linux, quindi il runtime non dava un chiaro segnale del problema.

Il codice vulnerabile è entrato nel kernel l’8 aprile 2023 insieme al commit 58c9b016e128 e la correzione corretta è apparsa il 24 aprile 2026 nel commit a6dc643c6931. Gli amministratori dovrebbero controllare gli aggiornamenti specifici delle proprie distribuzioni perché lo stato del pacchetto varia anche all’interno dello stesso ecosistema. Ad esempio, il tracker Debian contrassegna alcuni rami come fissi o non interessati, mentre altri sono ancora a rischio.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Luigi Zullo 300x300
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response