Linux-kwetsbaarheid 'Copy Fail' geeft aanvallers root-toegang
Een nieuwe, hoogrisico Linux-kwetsbaarheid, aangeduid als CVE-2026-31431 en 'Copy Fail' genoemd, wordt momenteel actief misbruikt door cybercriminelen. Onderzoekers waarschuwen dat de impact breed kan zijn: elke aanvaller met lokale toegang kan deze fout exploiteren om volledige controle over een systeem te verkrijgen. De kwetsbaarheid treft alle belangrijke Linux-kernelversies sinds 2017.
De ontdekking van de fout is opmerkelijk, omdat Theori, het beveiligingsbedrijf achter de vondst, sterk leunde op kunstmatige intelligentie (AI) voor zowel de detectie als de eerste melding. Het resultaat is een casestudy die de uitdagingen blootlegt wanneer de jacht op softwarefouten botst met marketingstrategieën en overdreven AI-gegenereerde taal, die vaak meer bluf dan technische diepgang bevat.
AI-gedreven ontdekking en controversiële melding
Theori ontdekte de lokale privilege-escalatiefout in een Linux-kernelmodule met behulp van hun AI-gestuurde penetratietestplatform, Xint. Op 23 maart meldden zij de fout aan het Linux-kernelbeveiligingsteam. Hoewel de meeste grote Linux-distributies al patches hadden uitgebracht voordat Theori hun openbaarmaking deed, publiceerde het bedrijf tegelijkertijd een proof-of-concept-exploit.
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft CVE-2026-31431 toegevoegd aan haar catalogus van actief misbruikte kwetsbaarheden. Hoewel het aantal getroffen organisaties nog niet bekend is, benadrukken onderzoekers dat de vereisten voor exploitatie – met name lokale toegang via een andere fout of ongeautoriseerde toegang – de potentiële schade beperken.
«Een aanvaller moet al voet aan de grond hebben op het doelwit, bijvoorbeeld via legitieme toegang of een andere exploit. Dit is een belangrijke beperkende factor, omdat de kwetsbaarheid dus gekoppeld moet worden aan een andere aanvalsvector.»
Spencer McIntyre, senior onderzoeker bij Rapid7
Kwaliteit van beveiligingsmeldingen onder vuur
De openbaarmaking van Theori heeft gemengde reacties opgewekt. Hoewel andere onderzoekers de brede impact van de fout erkennen, kritiseerden velen de ontoereikende technische details in de melding. Caitlin Condon, vicepresident van beveiligingsonderzoek bij VulnCheck, verwees naar de melding als «AI-slop» en wees op de overdaad aan angstzaaierij zonder concrete informatie.
«De exploit is reëel en er is reden tot zorg, maar teams moeten nu extra validatie uitvoeren om de extreme angstzaaierij in Theori’s blogpost te scheiden van de technische realiteit. Het is niet behulpzaam dat de blog vol staat met AI-gegenereerde flauwekul, omdat dit afleidt van de daadwerkelijke technische details.»
Caitlin Condon, vicepresident beveiligingsonderzoek bij VulnCheck
Theori erkent dat AI is ingezet voor zowel de ontdekking als de formulering van de melding, maar benadrukt dat alle inhoud intern is gecontroleerd op nauwkeurigheid. «We hebben AI gebruikt om de openbaarmakingswebsite en de blogpost te helpen versnellen, maar alle inhoud is grondig beoordeeld door onze interne teams,» aldus Tim Becker, senior beveiligingsonderzoeker bij Theori.
Het bedrijf houdt aanvullende details achter totdat de patch wijdverspreid is toegepast. «We staan achter onze technische beschrijving van de kwetsbaarheid. Het helpen van eindgebruikers om de impact van een beveiligingsfout te begrijpen, blijft een uitdaging voor beveiligingsonderzoekers,» aldus Becker. «Copy Fail maakt eenvoudige privilege-escalatie mogelijk op de meeste desktop- en server-Linuxdistributies en heeft ook implicaties voor containerisatie, waaronder Kubernetes.»
Wat kunnen organisaties doen?
Ondanks de beperkte exploiteerbaarheid roepen experts organisaties op om snel actie te ondernemen:
- Direct patchen: Installeer de beschikbare updates van uw Linux-distributie om de kwetsbaarheid te dichten.
- Toegang beperken: Beperk lokale toegang tot kritieke systemen tot het strikt noodzakelijke.
- Monitoring versterken: Houd systemen nauwlettend in de gaten op verdachte activiteiten, vooral op systemen met lokale toegang.
- Incidentrespons plannen: Zorg voor een duidelijk plan om snel te reageren op mogelijke compromittering.
Gerelateerde artikelen
ArXiv straft auteurs met jaarverbod bij AI-gegenereerde inhoud
ArXiv, the open-access repository of preprint academic research, will ban authors of papers for a year if they submit obviously AI-generated work. Lat...
Achter de schermen: Nieuwe muziek, een crash en de Beach Boys
This is Behind the Blog, where we share our behind-the-scenes thoughts about how a few of our top stories of the week came together. This week, we dis...
Ernstige Cisco-zero-day misbruikt door bekende dreigingsgroep
Attackers returned once again to a common target with a massive user base by exploiting a max-severity zero-day vulnerability affecting Cisco Catalyst...
Geavanceerde AI als 'revolutionaire oorlogsvoering': Pentagon-topman waarschuwt voor fundamentele verandering
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
Identiteitsbeveiliging cruciaal in het AI-tijdperk, waarschuwt topambtenaar Witte Huis
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
Foxconn getroffen door cyberaanval: fabrieken in Noord-Amerika platgelegd
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
AI-app verkoopt database met 150.000 poepfoto’s van gebruikers: ‘Internet of Shit’ op z’n zotst
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...
AI breekt alle records: nieuwe modellen voltooien cyberbeveiligingstaken sneller dan ooit
Two of the most advanced artificial intelligence models — Anthropic’s Claude Mythos Preview and OpenAI’s GPT-5.5 — have significantly surpassed the al...