Copy Fail: een Linux-kwetsbaarheid die al negen jaar onopgemerkt was en nu directe actie vraagt

Een ernstige kwetsbaarheid in Linux is publiek gemaakt. De fout zit al sinds 2017 in vrijwel alle versies, er is een werkende aanvalsmethode beschikbaar, en de aanval laat nauwelijks sporen achter. Organisaties die Linux gebruiken, moeten dit nu oppakken.

Vorige week werd een kwetsbaarheid in Linux publiek gemaakt onder de naam Copy Fail (CVE-2026-31431). De fout zat al negen jaar verborgen in het besturingssysteem en treft vrijwel alle gangbare versies die sinds 2017 zijn uitgebracht. Inmiddels is er een werkende aanvalsmethode beschikbaar die publiek toegankelijk is.

Dit is geen theoretisch risico. Het is een concrete kwetsbaarheid waarvoor actie vereist is.

Wat er aan de hand is

Linux is het besturingssysteem waarop een groot deel van de digitale infrastructuur draait: servers, cloudplatforms, webapplicaties en bedrijfssystemen. Ook veel Nederlandse organisaties maken er gebruik van, soms direct, soms indirect via hun cloud- of hostingprovider.

De kwetsbaarheid zit in een onderdeel van Linux dat verantwoordelijk is voor encryptie. Via die fout kan iemand met gewone, beperkte toegang tot een systeem zichzelf volledige beheerdersrechten geven. Dat betekent: volledige controle over het systeem, inclusief alle data die erop staat of doorheen gaat.

Aanwezig sinds
2017		Succespercentage
100%		Exploit publiek
Ja		Patch beschikbaar
Ja

Wat deze kwetsbaarheid onderscheidt

Kwetsbaarheden in software worden regelmatig ontdekt en verholpen. Copy Fail wijkt op een aantal punten af van wat normaal gangbaar is.

  • Betrouwbaar en eenvoudig uit te voeren
    De aanval werkt consistent, vereist geen geavanceerde kennis en is gebaseerd op een klein, publiek beschikbaar script. De drempel voor misbruik is laag.
  • Moeilijk te detecteren
    De manipulatie vindt alleen in het geheugen plaats. Bestanden op de harde schijf worden niet gewijzigd, waardoor gangbare beveiligingstools die controleren op bestandswijzigingen niets signaleren.
  • Werkt ook in cloud- en containeromgevingen
    De kwetsbaarheid kan de isolatie tussen containers doorbreken. Een aanval vanuit één applicatie kan daarmee het volledige systeem raken, inclusief andere omgevingen op dezelfde server.
  • Treft vrijwel alle Linux-omgevingen
    Ubuntu, Red Hat, Amazon Linux, SUSE: alle grote varianten zijn kwetsbaar. Het maakt niet uit welke versie of configuratie, als het systeem sinds 2017 niet specifiek is aangepast, is het waarschijnlijk kwetsbaar.

Voor welke organisaties is dit relevant?

Dit speelt voor elke organisatie die gebruikmaakt van Linux-servers, cloudplatforms zoals AWS, Azure of Google Cloud, gecontaineriseerde applicaties, of externe leveranciers en hostingpartijen die op Linux-infrastructuur draaien. In de praktijk betekent dat: de meeste organisaties met een IT-omgeving van enige omvang.

Wat moet er nu gebeuren?

Er zijn twee sporen: een tijdelijke maatregel voor nu, en een structurele oplossing voor de iets langere termijn.

  • Direct: schakel het kwetsbare onderdeel uit
    De kwetsbaarheid zit in een specifieke module van de Linux-kernel, het onderdeel dat encryptieoperaties afhandelt voor toepassingen die daar gebruik van maken. Deze module kan worden uitgeschakeld zonder dat dit voor de meeste organisaties merkbare gevolgen heeft voor de werking van systemen. Vraag je systeembeheerder of IT-leverancier dit te controleren en indien nodig uit te schakelen. Dit is de tijdelijke mitigatie tot de patch is doorgevoerd.
  • Controleer of de module actief is:
    lsmod | grep algif_aead
  • Schakel de module permanent uit en verwijder hem uit het geheugen:
    echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
    update-initramfs -u -k all
    rmmod algif_aead
  • Structureel: installeer de kernelupdate
    De definitieve oplossing is een update van de Linux-kernel. Die update is beschikbaar en wordt momenteel uitgerold door de grote distributeurs. Laat bevestigen dat alle betrokken systemen zijn bijgewerkt, inclusief systemen bij externe leveranciers en in cloudomgevingen.
  • Vergeet de cloudomgeving niet
    Cloudproviders rollen updates soms automatisch uit, maar niet altijd. Zeker als je zelf verantwoordelijk bent voor het beheer van virtuele machines of containers, is een expliciete controle noodzakelijk.

De bredere context

Copy Fail werd ontdekt door beveiligingsonderzoekers die AI inzetten om kwetsbaarheden te vinden. Wat normaal weken of maanden zou kosten, duurde in dit geval ongeveer een uur. Dat is een ontwikkeling die doorzet: zowel aanvallers als verdedigers zetten steeds vaker AI in, en de snelheid waarmee nieuwe kwetsbaarheden worden gevonden en misbruikt neemt toe.

Voor organisaties betekent dat: de tijd tussen ontdekking van een kwetsbaarheid en actief misbruik wordt korter. Patchbeheer dat niet structureel is georganiseerd, levert daarmee een steeds groter risico op.

Wat RiskGuard hierin doet

RiskGuard helpt organisaties inzicht te krijgen in kwetsbaarheden in hun infrastructuur en zorgt dat patchprocessen aansluiten op de snelheid waarmee dreigingen zich ontwikkelen. We ondersteunen bij het in kaart brengen van risico’s, het beoordelen van maatregelen en het inrichten van structureel vulnerability management.

Wil je weten of jouw Linux-omgeving kwetsbaar is, of hoe jullie patchproces er meer in het algemeen voor staat? Neem contact op voor een vrijblijvend gesprek.

Lees verder:

Een plaatje van een hamer op een boek

Cyberbeveiligingswet en WWKE aangenomen door Tweede Kamer: wat betekent dit voor jouw organisatie?

Een wachtwoord verstopt in code

Kwaadaardige code die je niet kunt zien: hoe aanvallers Unicode misbruiken in open source repositories

2150041854

OAuth-misbruik: hoe aanvallers vertrouwde inlogpagina’s als wapen gebruiken