Linux staat al jaren bekend als een veilig en stabiel besturingssysteem, maar ook daar duiken soms kwetsbaarheden op die moeilijk te negeren zijn. Dat is nu het geval met ‘Copy Fail’, een ernstige beveiligingslek in de Linux-kernel dat volgens onderzoekers al sinds 2017 aanwezig is. De fout kreeg de naam CVE-2026-31431 mee en kan aanvallers relatief eenvoudig rootrechten geven op een getroffen systeem.
De kwetsbaarheid treft een brede waaier aan Linux-kernels, van versie 4.14 tot en met 6.19.12. Dat betekent dat miljoenen systemen potentieel kwetsbaar zijn, van servers en werkstations tot embedded apparaten. De kern van het probleem zit in de manier waarop Linux bepaalde gegevens in het geheugen verwerkt. Via een combinatie van de AF_ALG-socketinterface en de splice()-systeemoproep kunnen aanvallers kleine stukjes data in het geheugen aanpassen. Dat klinkt onschuldig, maar die minieme wijziging volstaat om beveiligde systeembestanden te manipuleren.
Daardoor kan een gebruiker met beperkte toegang zichzelf uiteindelijk rootrechten geven. En eenmaal iemand roottoegang heeft, ligt in principe het volledige systeem open. Onderzoekers vergelijken het probleem met iemand die stiekem het naamplaatje van de directeur verwisselt met dat van de conciërge. Plots krijgt die laatste toegang tot alles, terwijl niemand meteen doorheeft wat er gebeurd is.
Wat ‘Copy Fail’ extra gevaarlijk maakt, is dat de aanval relatief eenvoudig uit te voeren zou zijn. Veel eerdere Linux-kwetsbaarheden waren afhankelijk van zogenaamde ‘race conditions’, waarbij aanvallers perfecte timing nodig hadden om in hun opzet te slagen. Bij Copy Fail is dat niet het geval. Volgens onderzoekers gaat het om een stabiele en voorspelbare exploit die geen ingewikkelde timing vereist. Dat verlaagt de drempel voor misbruik aanzienlijk.
Opvallend is vooral dat de fout al bijna negen jaar in de Linux-kernel aanwezig zou zijn zonder ontdekt te worden. Onderzoekers van het Xint Code Research Team vonden de kwetsbaarheid tijdens onderzoek naar de Linux-cryptosubsystemen. Daarbij speelde AI blijkbaar ook een rol. Volgens het onderzoeksteam werd de analyse ondersteund door AI-tools die hielpen om de volledige cryptoinfrastructuur van Linux sneller door te lichten.
De eenvoudigste oplossing blijft het updaten van je Linux-kernel naar een gepatchte versie. Distributies zullen de beveiligingsupdate normaal gezien via hun pakketbeheer verspreiden. Gebruikers kunnen controleren of de kwetsbare module actief is met het volgende commando:
dpkg -l kmod grep -qE '^algif_aead ' /proc/modules && echo "Affected module is loaded" || echo "Affected module is NOT loaded"Verschijnt de melding ‘Affected module is loaded’, dan is extra voorzichtigheid aangewezen en installeer je best zo snel mogelijk de nieuwste updates.
Wie nog geen gepatchte kernel heeft, kan de kwetsbare module voorlopig uitschakelen met:
install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.confDaarna kan de module uit het geheugen verwijderd worden via:
rmmod algif_aeadDat is geen definitieve oplossing, maar het kan het risico wel beperken tot er een officiële patch beschikbaar is voor jouw distributie. Hoewel Linux minder vaak geviseerd wordt dan Windows, toont Copy Fail nogmaals aan dat ook open-sourceplatformen ernstige beveiligingsproblemen kunnen bevatten. Zeker omdat deze kwetsbaarheid zo lang onopgemerkt bleef én relatief eenvoudig misbruikt kan worden, raden onderzoekers aan om updates niet uit te stellen.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Volg Clickx op Google Nieuws om onze nieuwste artikels in je feed te krijgen. Vergeet niet om op ‘Volgen’ te klikken.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
