Ga naar inhoud
  • Drifter

    Door Drifter

    Drifter

    Door Drifter

    Kritiek Linux-lek “Copy Fail” (CVE-2026-31431) maakt root-toegang mogelijk

    Een recent openbaar gemaakte kwetsbaarheid in de Linux-kernel, bekend als “Copy Fail” (CVE-2026-31431), vormt een ernstig beveiligingsrisico voor vrijwel alle grote Linux-distributies die sinds 2017 zijn uitgebracht. Het lek stelt een aanvaller zonder administratorrechten (unprivileged user) in staat om volledige root-toegang te verkrijgen op een systeem.

    Hoewel er inmiddels patches beschikbaar zijn in recente kernelversies, is de kwetsbaarheid extra zorgwekkend doordat er al een publieke proof-of-concept (PoC) is verschenen voordat alle systemen adequaat gepatcht konden worden. Dit heeft geleid tot aanzienlijke onrust binnen de Linux-community.

    Technische oorzaak: fout in crypto-subsystem

    De kwetsbaarheid bevindt zich in de cryptografische template “authencesn” binnen het crypto-subsystem van de Linux-kernel. Door een specifieke combinatie van:

    • de AF_ALG socketinterface (voor kernel-cryptografie), en
    • de splice() system call (voor efficiënte data-overdracht tussen buffers),

    kan een aanvaller een fout uitbuiten waarbij data niet naar een normale buffer wordt geschreven, maar direct in de page cache van een bestand terechtkomt.

    Concreet betekent dit dat een aanvaller vier gecontroleerde bytes kan injecteren in een willekeurig leesbaar bestand. Dit lijkt beperkt, maar heeft enorme impact: als deze bytes terechtkomen in een setuid-root binary, kan het gedrag van dat programma worden aangepast. Hierdoor kan de aanvaller het programma misbruiken om root-rechten te verkrijgen.

    Oorsprong van het probleem (2017)

    De kwetsbaarheid is terug te voeren naar een optimalisatie die werd geïntroduceerd in Linux kernel 4.14 (2017). Hierbij werd een zogenaamde in-place optimalisatie toegevoegd aan het crypto-pad, waarbij:

    • invoer- en uitvoerbuffers niet langer strikt gescheiden waren
    • dezelfde buffer werd hergebruikt om prestaties te verbeteren

    Deze wijziging leidde tot een subtiele maar kritieke fout in geheugentoegang, die jarenlang onopgemerkt bleef.

    Ontdekking via AI en snelle exploit

    Het lek werd ontdekt door securitybedrijf Theori met behulp van hun AI-gestuurde pentestplatform. Dit systeem analyseerde het crypto-subsystem van de kernel en identificeerde de kwetsbaarheid binnen ongeveer een uur.

    De exploit zelf is opvallend compact en effectief:

    • Slechts ±732 bytes Python-code
    • Werkt betrouwbaar op o.a.:
      • Ubuntu 24.04 LTS
      • Amazon Linux 2023
      • RHEL 10.1
      • SUSE 16

    Volgens de onderzoekers heeft de exploit een slagingskans van vrijwel 100%, mede doordat er geen complexe timing- of racecondities nodig zijn.

    Vergelijking met eerdere kwetsbaarheden

    De kwetsbaarheid wordt vergeleken met de bekende Dirty Pipe-bug uit 2022, maar wordt als ernstiger beschouwd omdat:

    • de exploit eenvoudiger en stabieler is
    • minder afhankelijk is van timing
    • toepasbaar is op een breder scala aan systemen

    Onvrede over publicatie

    Binnen de Linux-community is er kritiek ontstaan op de manier waarop de kwetsbaarheid is bekendgemaakt. Normaal gesproken worden dergelijke lekken eerst vertrouwelijk gedeeld via beveiligingskanalen (zoals distro-coördinatielijsten), zodat patches uitgerold kunnen worden vóór publieke disclosure.

    In dit geval:

    • werd de kwetsbaarheid op 23 maart gemeld
    • volgde relatief snel een patch
    • maar verscheen toch een publieke PoC voordat alle distributies updates hadden uitgebracht

    Dit vergroot het risico op actieve exploitatie aanzienlijk.

    Beschikbare patches en mitigatie

    De kwetsbaarheid is inmiddels upstream opgelost door het terugdraaien van de problematische optimalisatie.

    Veilige kernelversies zijn onder andere:

    • 6.18.22
    • 6.19.12
    • 7.0 en nieuwer

    Linux-distributies rollen deze fixes uit via reguliere kernel-updates.

    Tijdelijke maatregel (mitigatie)

    Voor systemen die nog niet gepatcht zijn, wordt aangeraden om de kwetsbare functionaliteit uit te schakelen door:

    • de algif_aead kernelmodule te deactiveren

    Dit beperkt de aanvalsvector totdat een volledige patch kan worden toegepast.

    Risicogroepen en prioriteit

    De kwetsbaarheid is vooral kritisch voor omgevingen waar meerdere gebruikers of workloads draaien, zoals:

    • multi-tenant servers
    • Kubernetes-clusters
    • CI/CD-runners
    • cloud- en SaaS-platformen

    Voor deze systemen is direct patchen of mitigeren essentieel.

    Conclusie

    CVE-2026-31431 (“Copy Fail”) is een van de meest impactvolle Linux-kwetsbaarheden van de afgelopen jaren. Door de combinatie van:

    • eenvoudige exploitatie
    • hoge betrouwbaarheid
    • brede impact

    vormt het een directe bedreiging voor vrijwel alle niet-gepatchte Linux-systemen. Snelle actie — patchen of mitigeren — is noodzakelijk om misbruik te voorkomen.

    Door: Drifter

    Ga naar articles

    Feedback Gebruiker

    Aanbevolen Reacties

    Er zijn geen reacties om weer te geven.



    Log in om te reageren

    Je kunt een reactie achterlaten na het inloggen



    Login met de gegevens die u gebruikt bij softtrack

×
×
  • Nieuwe aanmaken...