Openbaar vrijgegeven exploit De code voor een feitelijk niet-gepatchte kwetsbaarheid die root-toegang geeft tot vrijwel alle releases van Linux doet alarmbellen rinkelen terwijl verdedigers zich inspannen om ernstige compromissen in datacenters en op persoonlijke apparaten af te weren.
De kwetsbaarheid en de exploitcode die er misbruik van maakt, waren woensdagavond vrijgelaten door onderzoekers van beveiligingsbedrijf Theori, vijf weken nadat ze het privé hadden bekendgemaakt aan het Linux-kernelbeveiligingsteam. Het team heeft de kwetsbaarheid in versies gepatcht 7,0, 6.19.12, 6.18.126.12.85, 6.6.137, 6.1.170, 5.15.204 en 5.10.254) maar weinig Linux-distributies hadden deze oplossingen opgenomen op het moment dat de exploit werd uitgebracht.
Eén script om ze allemaal te hacken
De kritieke fout, bijgehouden als CVE-2026-31431 en de naam CopyFail, is een lokale escalatie van bevoegdheden, een kwetsbaarheidsklasse waarmee onbevoegde gebruikers zichzelf tot beheerder kunnen verheffen. CopyFail is bijzonder ernstig omdat het kan worden uitgebuit met een enkel stukje exploitcode (vrijgegeven in de openbaarmaking van woensdag) dat zonder enige wijziging op alle kwetsbare distributies werkt. Daarmee kan een aanvaller onder meer multi-tenant systemen hacken, uit containers op basis van Kubernetes of andere frameworks breken en kwaadwillige pull-requests creëren die de exploitcode er doorheen leiden. CI/CD werkstromen.
“’Escalatie van lokale privileges’ klinkt droog, dus laat ik het uitpakken”, onderzoeker Jorijn Schrijvershof schreef donderdag. “Het betekent: een aanvaller die al een manier heeft om code op de machine uit te voeren, zelfs als de saaiste gebruiker zonder privileges, kan zichzelf promoveren tot root. Van daaruit kunnen ze elk bestand lezen, achterdeurtjes installeren, elk proces bekijken en naar andere systemen draaien.”
Schrijvershof voegde eraan toe dat hetzelfde Python-script dat Theori uitbracht betrouwbaar werkt voor Ubuntu 22.04, Amazon Linux 2023, SUSE 15.6 en Debian 12. De onderzoeker vervolgde:
Waarom maakt dat uit op gedeelde infrastructuur? Omdat ‘lokaal’ in 2026 veel terrein bestrijkt: elke container op een gedeeld Kubernetes-knooppunt, elke huurder op een gedeelde hostingbox, elke CI/CD-taak die niet-vertrouwde pull-request-code uitvoert, elke WSL2-instantie op een Windows-laptop, elke gecontaineriseerde AI-agent die shell-toegang krijgt. Ze delen allemaal één Linux-kernel met hun buren. Een kernel-LPE laat die grens vallen.
De realistische dreigingsketen ziet er als volgt uit. Een aanvaller maakt misbruik van een bekende kwetsbaarheid in WordPress-plug-ins en krijgt shell-toegang als www-data. Ze voeren de copy.fail PoC uit. Ze zijn nu root op de host. Elke andere huurder is ineens bereikbaar, zoals ik post-mortem in deze hack heb doorlopen. De kwetsbaarheid brengt de aanvaller niet op de box; het verandert wat er gebeurt in de volgende tien seconden nadat ze daar zijn geland.
De kwetsbaarheid komt voort uit een “rechtlijnige” logische fout in de crypto-API van de kernel. Veel exploits uitbuiten race omstandigheden en gebreken aan geheugencorruptie slagen niet consistent in alle kernelversies of distributies, en soms zelfs op dezelfde machine. Omdat de code die voor CopyFail is uitgebracht gebruik maakt van een logische fout, “is betrouwbaarheid niet probabilistisch, en werkt hetzelfde script in alle distributies, zeggen onderzoekers van Bugcrowd schreef. “Geen racevenster, geen kernel-offset.”
CopyFail krijgt zijn naam omdat het authencesn AEAD-sjabloonproces (gebruikt voor IPsec uitgebreide volgnummers) feitelijk geen gegevens kopieert wanneer dat zou moeten. In plaats daarvan “gebruikt het de bestemmingsbuffer van de beller als kladblok, krabbelt vier bytes voorbij de legitieme uitvoerregio en herstelt deze nooit”, aldus Theori. “De ‘kopie’ van de AAD ESN-bytes ‘faalt’ niet in de bestemmingsbuffer.”
De ergste Linux-kwetsbaarheid in jaren
Andere beveiligingsexperts herhaalden het perspectief dat CopyFail een ernstige bedreiging vormt, met één gezegde het zijn de “ergste make-me-root-kwetsbaarheden in de kernel van de afgelopen tijd.”
De meest recente Linux-kwetsbaarheid was Vuile pijp vanaf 2022 en Vuile koe in 2016. Beide kwetsbaarheden waren dat wel actief uitgebuit in het wild.
