Een recent ontdekt lek in de Linux-kernel zorgt voor onrust binnen de open source-gemeenschap. Het probleem maakt het mogelijk voor lokale gebruikers om hun rechten te verhogen tot rootniveau, zonder dat daar complexe aanvalstechnieken voor nodig zijn.
Verschillende grote Linux-distributies zijn inmiddels begonnen met het uitrollen van updates om het lek te dichten, meldt The Register.
De kwetsbaarheid, bekend onder de naam Copy Fail en geregistreerd als CVE-2026-31431, zit in een cryptografisch onderdeel van de kernel. Onderzoekers van Theori ontdekten dat een gebruiker zonder speciale rechten beperkte wijzigingen kan aanbrengen in de zogeheten page cache van bestanden. Volgens het bedrijf kan dit mechanisme worden misbruikt om uiteindelijk volledige systeemtoegang te verkrijgen.
Wat het probleem extra zorgwekkend maakt, is dat deze manipulatie plaatsvindt buiten het zicht van gangbare beveiligingsmaatregelen. De kernel gebruikt de page cache bij het laden van programma’s, waardoor een aangepaste versie van een bestand ongemerkt kan worden uitgevoerd. Detectiesystemen die gericht zijn op wijzigingen in het bestandssysteem slaan in dit scenario niet aan.
De onderzoekers tonen aan dat de aanval relatief eenvoudig uit te voeren is. Met een kort script kan een aanvaller een setuid-programma aanpassen en daarmee rootrechten bemachtigen. In tegenstelling tot eerdere vergelijkbare kwetsbaarheden is er geen sprake van timinggevoelige race conditions, wat de drempel voor misbruik aanzienlijk verlaagt.
Kwetsbaarheid vooral gevaarlijk in ketenaanvallen
Hoewel de kwetsbaarheid niet direct op afstand uit te buiten is, kan deze wel worden ingezet als onderdeel van een bredere aanvalsketen. Denk daarbij aan situaties waarin een aanvaller al toegang heeft verkregen via bijvoorbeeld een kwetsbare webapplicatie of een gecompromitteerde CI-omgeving. Vooral systemen waarop meerdere gebruikers actief zijn of waarin containers draaien met een gedeelde kernel lopen extra risico.
Volgens Theori kan het probleem ook implicaties hebben voor containeromgevingen zoals Kubernetes. Omdat de page cache gedeeld wordt met het onderliggende hostsysteem, ontstaat er een potentiële route om uit een container te ontsnappen.
Grote Linux-distributies zoals Debian, Ubuntu en SUSE hebben inmiddels beveiligingsupdates uitgebracht. Ook Red Hat heeft zijn eerdere terughoudendheid laten varen en werkt aan een snelle patch.
De kwetsbaarheid heeft een hoge ernstscore gekregen van 7,8 op 10. Opvallend is dat de ontdekking mede tot stand kwam met behulp van AI-ondersteunde analysetools. Dat past binnen een bredere trend waarin het aantal gemelde beveiligingsproblemen snel toeneemt. Zo meldde Microsoft recent een uitzonderlijk hoog aantal patches in één updatecyclus.
Volgens Dustin Childs van Trend Micro is die stijging waarschijnlijk het gevolg van het toenemende gebruik van AI bij kwetsbaarheidsonderzoek. Hij stelt dat beveiligingsteams hierdoor efficiënter fouten kunnen opsporen, wat leidt tot een grotere stroom aan meldingen.