Een recent ontdekte kwetsbaarheid in de Linux-kernel veroorzaakt onrust binnen de open source-gemeenschap. Het lek, geregistreerd als CVE-2026-31431 en bekend onder de naam Copy Fail, stelt lokale gebruikers in staat hun rechten te verhogen tot rootniveau zonder gebruik te maken van complexe aanvalstechnieken. Diverse grote Linux-distributies zijn inmiddels gestart met het uitrollen van beveiligingsupdates om het probleem te verhelpen, zoals gemeld door The Register.

De kwetsbaarheid bevindt zich in een cryptografisch onderdeel van de kernel en is ontdekt door onderzoekers van Theori. Zij tonen aan dat een gebruiker zonder speciale rechten beperkte wijzigingen kan aanbrengen in de page cache van bestanden. Dit mechanisme kan worden misbruikt om uiteindelijk volledige systeemtoegang te verkrijgen. Wat de situatie extra zorgwekkend maakt, is dat deze manipulatie buiten het zicht van gangbare beveiligingsmaatregelen plaatsvindt. Omdat de kernel de page cache gebruikt bij het laden van programma’s, kan een aangepaste versie van een bestand ongemerkt worden uitgevoerd. Detectiesystemen die zich richten op wijzigingen in het bestandssysteem reageren in dit scenario niet.

De aanval is relatief eenvoudig uit te voeren. Met een kort script kan een aanvaller een setuid-programma aanpassen en daarmee rootrechten verkrijgen. In tegenstelling tot eerdere vergelijkbare kwetsbaarheden is er geen sprake van timinggevoelige race conditions, waardoor de drempel voor misbruik aanzienlijk lager ligt.

Hoewel de kwetsbaarheid niet direct op afstand kan worden uitgebuit, kan deze wel worden ingezet als onderdeel van een bredere aanvalsketen. Dit is bijvoorbeeld relevant in situaties waarin een aanvaller al toegang heeft via een kwetsbare webapplicatie of een gecompromitteerde CI-omgeving. Systemen met meerdere gebruikers of containeromgevingen met een gedeelde kernel lopen extra risico. Volgens Theori kan het lek ook gevolgen hebben voor containerplatforms zoals Kubernetes, omdat de page cache gedeeld wordt met het onderliggende hostsysteem, wat een mogelijke route biedt om uit een container te ontsnappen.

Grote Linux-distributies zoals Debian, Ubuntu en SUSE hebben inmiddels beveiligingsupdates beschikbaar gesteld. Ook Red Hat werkt aan een snelle patch, nadat het bedrijf aanvankelijk terughoudend was. De kwetsbaarheid heeft een hoge ernstscore van 7,8 op 10 gekregen. Opvallend is dat de ontdekking mede tot stand kwam met behulp van AI-ondersteunde analysetools, wat past binnen een bredere trend van een snel toenemend aantal gemelde beveiligingsproblemen. Zo meldde Microsoft recent een uitzonderlijk hoog aantal patches in één updatecyclus. Volgens Dustin Childs van Trend Micro is deze stijging waarschijnlijk het gevolg van het toenemende gebruik van AI bij kwetsbaarheidsonderzoek, waardoor beveiligingsteams efficiënter fouten kunnen opsporen en er meer meldingen binnenkomen.