Un punto esclamativo di troppo nel codice del kernel Linux � bastato a trasformare un utente senza privilegi in root. � la sintesi della falla CVE-2026-23111, una use-after-free nel sottosistema nf_tables di netfilter per cui nelle scorse ore Exodus Intelligence ha pubblicato un exploit completo e funzionante. La vulnerabilit� era gi� stata corretta a monte il 5 febbraio 2026, con una modifica di una sola riga, e non � nemmeno il primo codice di attacco reso pubblico: FuzzingLabs ne aveva diffuso una riproduzione indipendente gi� ad aprile. Ubuntu classifica la falla con un punteggio CVSS 7.8, alto. La falla non apre alcun varco da remoto, in quanto si tratta di una strada che un attaccante potrebbe percorrere solo dopo aver gi� messo piede sul sistema, per promuovere a root una shell a con permessi bassi, un container compromesso o un account di servizio, ed evadere cos� dall'isolamento verso la macchina ospite. Un controllo invertito nella fase di abort Il problema vive in nft_map_catchall_activate(), la funzione che durante l'annullamento di una transazione nf_tables dovrebbe riattivare gli elementi catchall di una mappa. Un controllo di attivit� invertito, un'unica negazione di troppo, fa s� che la funzione salti gli elementi inattivi e ne elabori di attivi, l'opposto di quanto la logica richiede. La correzione a monte si � limitata a togliere quel carattere. La conseguenza � che a ogni ciclo di annullamento fallito il contatore dei riferimenti di una catena viene decrementato in modo permanente. Portato a zero, lascia liberare la catena mentre altri oggetti la referenziano ancora, ed � qui che si apre la use-after-free sfruttabile per la scalata dei privilegi. Il presupposto � una configurazione molto diffusa: nf_tables insieme agli user namespace senza privilegi, la funzione che permette a un account ordinario di agire da amministratore dentro una sandbox isolata e raggiungere codice del kernel altrimenti fuori portata. Entrambi gli ingredienti sono attivi di default su gran parte dei desktop e su molte installazioni server. Due strade verso lo stesso root Le due dimostrazioni hanno imboccato percorsi tecnici diversi. Exodus attribuisce la scoperta al ricercatore Oliver Sieber, che individu� il bug all'inizio del 2025 e lo ha poi incatenato in una scalata completa a root, con tanto di evasione dal namespace del container. La dimostrazione ha funzionato su Debian Bookworm e Trixie e su Ubuntu 22.04 e 24.04 LTS, con una stabilit� superiore al 99% su sistema a riposo, che scende all'80% sotto forte pressione sulla memoria del kernel. FuzzingLabs era arrivata prima e da un'altra direzione: in preparazione del Pwn2Own Berlin 2026 ha riprodotto il bug su Red Hat Enterprise Linux 10, costruendo un proprio exploit fino all'esecuzione di una catena ROP per ottenere i privilegi di root. La cronologia � abbastanza serrata: correzione a monte il 5 febbraio, pubblicazione di FuzzingLabs il 16 aprile, analisi dettagliata di Exodus l'8 giugno. CVE-2026-23111 si inserisce in una sequenza fitta di scalate locali su Linux. Nelle ultime settimane sono emerse Copy Fail, la catena Dirty Frag con la sua variante Fragnesia, DirtyDecrypt e una falla in ptrace vecchia di nove anni, capace di leggere /etc/shadow ed eseguire comandi come root. Secondo una recente analisi di Synacktiv, il ritmo � alimentato dalla ricerca assistita dall'IA e dal confronto fra le versioni delle patch, che mette in circolazione exploit funzionanti prima che le correzioni si diffondano. Il rimedio � abbastanza scontato: aggiornare il kernel e riavviare. Ubuntu ha distribuito le correzioni per 22.04, 24.04 e 25.10, Debian per Bookworm e Trixie con un backport su 6.1 per Bullseye LTS, mentre Red Hat, SUSE e Amazon Linux seguono la falla con versioni corrette che variano da distribuzione a distribuzione. Non risultano al momento sfruttamenti attivi, ma il codice di attacco circola dall'aprile scorso: dove la patch non pu� essere applicata subito, conviene almeno restringere chi � autorizzato a creare user namespace senza privilegi.