Un nuovo allarme sicurezza scuote il mondo Linux, poco tempo fa è stata scoperta una vulnerabilità che consente di aggirare la cifratura completa del disco in alcune distribuzioni moderne del sistema operativo, tra cui Ubuntu 25.04 e Fedora 42. Il problema è stato reso pubblico dal team di sicurezza ERNW, che ha evidenziato come un attaccante con accesso fisico al dispositivo possa ottenere il controllo del sistema senza dover decifrare i dati protetti.
Il cuore della vulnerabilità risiede nell’ambiente di avvio initramfs, una componente critica che viene caricata prima del sistema operativo vero e proprio. In alcune configurazioni, dopo diversi tentativi falliti di inserimento della password di decifrazione, il sistema consente l’accesso a una shell di debug. Questa funzione, pensata per facilitare il recupero del sistema in caso di problemi, può essere sfruttata per introdurre codice malevolo. Un attaccante potrebbe, ad esempio, collegare una chiavetta USB contenente strumenti per modificare initramfs e iniettare uno script che si esegue automaticamente al successivo avvio, una volta che l’utente legittimo inserisce la password corretta. Questo codice può quindi operare con privilegi elevati, installare keylogger, aprire backdoor o sottrarre dati sensibili.
Ciò che rende questa falla particolarmente insidiosa è che non si tratta di un errore nel software, ma di una mancanza nelle misure di hardening previste da molte linee guida di sicurezza. Né i benchmark del CIS né i profili STIG del NIST menzionano questo tipo di attacco, e molte utility di auditing non sono in grado di rilevarlo. Inoltre, initramfs spesso non è firmato, il che rende possibile la sua alterazione senza che vengano attivati allarmi di sicurezza.
Nonostante la gravità del problema, il rischio concreto rimane limitato a scenari in cui l’attaccante ha accesso fisico al dispositivo e dispone delle competenze e degli strumenti necessari. Tuttavia, la comunità Linux si sta già muovendo per correggere la vulnerabilità. È possibile mitigare il rischio disattivando l’accesso alla shell di emergenza tramite parametri del kernel, come panic=0 su Ubuntu o rd.shell=0 rd.emergency=halt su sistemi basati su Red Hat.
