Default
Door Remote - 04 May 2026
Een ernstige beveiligingskwetsbaarheid die bijna elke versie van het Linux-besturingssysteem treft, heeft verdedigers overrompeld en haastte zich om te patchen nadat beveiligingsonderzoekers publiekelijk exploitcode hadden vrijgegeven waarmee aanvallers de volledige controle over kwetsbare systemen konden overnemen.
De Amerikaanse overheid zegt dat de bug, genaamd ‘CopyFail’, nu in het wild wordt uitgebuit, wat betekent dat deze actief wordt gebruikt in kwaadaardige hackcampagnes.
De bug, officieel gevolgd als CVE-2026-31431 en ontdekt in Linux-kernelversies 7.0 en eerder, werd eind maart bekendgemaakt aan het Linux-kernelbeveiligingsteam en na ongeveer een week gepatcht. Maar de patches moeten nog volledig doorsijpelen naar de vele Linux-distributies die afhankelijk zijn van de kwetsbare kernel, waardoor elk systeem waarop een getroffen Linux-versie draait het risico loopt te worden gecompromitteerd.
Linux wordt veel gebruikt in bedrijfsomgevingen en draait op de computers die een groot deel van de datacenters ter wereld aansturen.
De CopyFail-website zegt dat hetzelfde korte Python-script “elke Linux-distributie die sinds 2017 is verzonden, roott.” Volgens beveiligingsbedrijf Theori, dat CopyFail ontdekte, werd de kwetsbaarheid geverifieerd in verschillende veelgebruikte versies van Linux, waaronder Red Hat Enterprise Linux 10.1, Ubuntu 24.04 (LTS), Amazon Linux 2023 en SUSE 16.
DevOps-ingenieur en ontwikkelaar Jorijn Schrijvershof schreef in een blogpost dat de exploit werkt op Debian- en Fedora-versies, evenals op Kubernetes, dat afhankelijk is van de Linux-kernel. Schrijvershof beschreef de bug als een “ongebruikelijk grote explosieradius”, aangezien deze werkt op “bijna elke moderne distributie” van Linux.
De bug heet CopyFail omdat het getroffen onderdeel in de Linux-kernel, de kern van het besturingssysteem dat vrijwel volledige toegang heeft tot het hele apparaat, bepaalde gegevens niet kopieert wanneer dat zou moeten. Hierdoor worden gevoelige gegevens binnen de kernel beschadigd, waardoor de aanvaller de toegang van de kernel tot de rest van het systeem, inclusief de gegevens, kan meeliften.
Als er misbruik van wordt gemaakt, is de bug vooral problematisch omdat een gewone gebruiker met beperkte toegang volledige beheerderstoegang kan krijgen tot een getroffen Linux-systeem. Een succesvolle compromis van een server in een datacenter zou een aanvaller in staat kunnen stellen toegang te krijgen tot elke applicatie, server en database van talloze zakelijke klanten, en mogelijk toegang te krijgen tot andere systemen op hetzelfde netwerk of datacenter.
De CopyFail-bug kan op zichzelf niet via internet worden uitgebuit, maar kan wel als wapen worden gebruikt als deze wordt gebruikt in combinatie met een exploit die via internet werkt. Volgens Microsoft kan een aanvaller de fout gebruiken om root-toegang te krijgen tot een getroffen server als de CopyFail-bug is gekoppeld aan een andere kwetsbaarheid die via internet kan worden verspreid. Een gebruiker die een Linux-computer met een kwetsbare kernel bedient, kan ook worden misleid om een kwaadaardige link of bijlage te openen die het beveiligingslek veroorzaakt.
De bug kan ook worden geïnjecteerd door middel van supply chain-aanvallen, waarbij kwaadwillende actoren het account van een open source-ontwikkelaar hacken en de malware in hun code plaatsen om in één keer een groot aantal apparaten in gevaar te brengen.
Gezien het risico voor het federale bedrijfsnetwerk heeft de Amerikaanse cyberveiligheidsdienst CISA alle civiele federale instanties opgedragen om alle getroffen systemen vóór 15 mei te patchen.
De Amerikaanse overheid zegt dat de bug, genaamd ‘CopyFail’, nu in het wild wordt uitgebuit, wat betekent dat deze actief wordt gebruikt in kwaadaardige hackcampagnes.
De bug, officieel gevolgd als CVE-2026-31431 en ontdekt in Linux-kernelversies 7.0 en eerder, werd eind maart bekendgemaakt aan het Linux-kernelbeveiligingsteam en na ongeveer een week gepatcht. Maar de patches moeten nog volledig doorsijpelen naar de vele Linux-distributies die afhankelijk zijn van de kwetsbare kernel, waardoor elk systeem waarop een getroffen Linux-versie draait het risico loopt te worden gecompromitteerd.
Linux wordt veel gebruikt in bedrijfsomgevingen en draait op de computers die een groot deel van de datacenters ter wereld aansturen.
De CopyFail-website zegt dat hetzelfde korte Python-script “elke Linux-distributie die sinds 2017 is verzonden, roott.” Volgens beveiligingsbedrijf Theori, dat CopyFail ontdekte, werd de kwetsbaarheid geverifieerd in verschillende veelgebruikte versies van Linux, waaronder Red Hat Enterprise Linux 10.1, Ubuntu 24.04 (LTS), Amazon Linux 2023 en SUSE 16.
DevOps-ingenieur en ontwikkelaar Jorijn Schrijvershof schreef in een blogpost dat de exploit werkt op Debian- en Fedora-versies, evenals op Kubernetes, dat afhankelijk is van de Linux-kernel. Schrijvershof beschreef de bug als een “ongebruikelijk grote explosieradius”, aangezien deze werkt op “bijna elke moderne distributie” van Linux.
De bug heet CopyFail omdat het getroffen onderdeel in de Linux-kernel, de kern van het besturingssysteem dat vrijwel volledige toegang heeft tot het hele apparaat, bepaalde gegevens niet kopieert wanneer dat zou moeten. Hierdoor worden gevoelige gegevens binnen de kernel beschadigd, waardoor de aanvaller de toegang van de kernel tot de rest van het systeem, inclusief de gegevens, kan meeliften.
Als er misbruik van wordt gemaakt, is de bug vooral problematisch omdat een gewone gebruiker met beperkte toegang volledige beheerderstoegang kan krijgen tot een getroffen Linux-systeem. Een succesvolle compromis van een server in een datacenter zou een aanvaller in staat kunnen stellen toegang te krijgen tot elke applicatie, server en database van talloze zakelijke klanten, en mogelijk toegang te krijgen tot andere systemen op hetzelfde netwerk of datacenter.
De CopyFail-bug kan op zichzelf niet via internet worden uitgebuit, maar kan wel als wapen worden gebruikt als deze wordt gebruikt in combinatie met een exploit die via internet werkt. Volgens Microsoft kan een aanvaller de fout gebruiken om root-toegang te krijgen tot een getroffen server als de CopyFail-bug is gekoppeld aan een andere kwetsbaarheid die via internet kan worden verspreid. Een gebruiker die een Linux-computer met een kwetsbare kernel bedient, kan ook worden misleid om een kwaadaardige link of bijlage te openen die het beveiligingslek veroorzaakt.
De bug kan ook worden geïnjecteerd door middel van supply chain-aanvallen, waarbij kwaadwillende actoren het account van een open source-ontwikkelaar hacken en de malware in hun code plaatsen om in één keer een groot aantal apparaten in gevaar te brengen.
Gezien het risico voor het federale bedrijfsnetwerk heeft de Amerikaanse cyberveiligheidsdienst CISA alle civiele federale instanties opgedragen om alle getroffen systemen vóór 15 mei te patchen.