Alert

CVE-2026-31431 ("Copy Fail"): Kritieke Linux-kwetsbaarheid voor privilege-escalatie

29 april 2026

CVE-2026-31431 ("Copy Fail") is een kritieke Linux-kernelkwetsbaarheid waarmee een lokale aanvaller stiekem rechten kan escaleren naar root. Leer meer over de impact, getroffen systemen en mitigatiemaatregelen.

Op 29 april 2026 is een nieuwe Linux-kernelkwetsbaarheid (CVE-2026-31431), bekend als "Copy Fail", publiekelijk bekendgemaakt. De kwetsbaarheid treft de AF_ALG-interface (algif_aead) en stelt een onbevoorrechte lokale gebruiker in staat om privileges te escaleren naar root op de meeste moderne Linux-distributies.

Waarom deze kwetsbaarheid een hoog risico vormt

Wat CVE-2026-31431 bijzonder gevaarlijk maakt, is de stealthy exploitatietechniek. Aanvallers kunnen de page cache van setuid-binaries (zoals /usr/bin/su) in het geheugen corrumperen, zónder het bestand op schijf aan te passen. Traditionele file-integrity-monitoringtools zijn daardoor waarschijnlijk niet in staat een compromise te detecteren.

Hoewel officieel beoordeeld als "High" (CVSS 7.8), is het werkelijke risico verhoogd door:

  • Publiekelijk beschikbare proof-of-concept exploit
  • Betrouwbare exploitatie op grote Linux-distributies
  • Geen architectuurspecifieke aanpassingen nodig

Getroffen systemen en omgevingen

De kwetsbaarheid treft een breed scala aan Linux-omgevingen:

  • Multi-user Linux-servers
  • Containerhosts (gedeelde kernel en page cache)
  • CI/CD-pipelines en buildsystemen
  • Jumpservers en shared hosting-omgevingen

Gecontaineriseerde platforms lopen extra risico: een lokale compromise in een container kan escaleren naar toegang op hostniveau.

Mitigatie en aanbevolen acties

Organisaties moeten snel handelen om blootstelling te beperken:

  • Pas vendor-kernelpatches toe zodra beschikbaar
  • Blokkeer tijdelijk de algif_aead-module
  • Beperk het aanmaken van AF_ALG-sockets via seccomp of LSM-policies
  • Controleer container runtime-beveiligingsconfiguraties

Een groeiende trend in exploitatie

CVE-2026-31431 illustreert een bredere trend: aanvallers maken steeds vaker gebruik van gedeelde infrastructuurcomponenten via technieken die traditionele detectie ontwijken. Gecombineerd met snellere wapening van kwetsbaarheden verkort dit de responstijd voor verdedigers aanzienlijk.

Hoe DEFION helpt

DEFION helpt organisaties effectief te reageren via:

  • Snelle Linux-blootstellingsbeoordelingen
  • Containerbeveiliging en hardening-reviews
  • Threat-informed patchprioritering
  • Detectie en validatie van privilege-escalatieactiviteit

Neem voor meer informatie of ondersteuning contact op met het DEFION CSIRT.

Public disclosure was done by Theori (Taeyang Lee), supported by Xint Code on April 29th 2026.

← Terug naar nieuws