In de wereld van cybersecurity horen we vaak over complexe aanvallen die maanden voorbereiding vereisen. Maar af en toe duikt er een kwetsbaarheid op die zo elegant en tegelijkertijd verwoestend is, dat alle alarmbellen afgaan. Maak kennis met Copy Fail (CVE-2026-31431), een recent onthulde bug waarmee een lokale gebruiker binnen enkele seconden volledige 'root'-rechten kan verkrijgen op vrijwel elk Linux-systeem sinds 2017.

Wat is Copy Fail precies?

De naam "Copy Fail" verwijst naar een logische fout in de manier waarop de Linux-kernel omgaat met geheugenoptimalisatie tijdens cryptografische operaties. Onderzoekers ontdekten dat een lokale gebruiker (iemand met minimale toegang tot een server of container) de kernel kan misleiden om vier specifieke bytes in de page cache te overschrijven.

De page cache is het supersnelle geheugen waarin Linux kopieën van bestanden bewaart die momenteel in gebruik zijn. Door deze vier bytes strategisch te veranderen in een bestand zoals /usr/bin/su, kan een aanvaller de beveiligingscontrole omzeilen en zichzelf direct verheffen tot systeembeheerder (root).

Waarom is dit gevaarlijker dan de gemiddelde bug?

Er zijn drie redenen waarom security-experts Copy Fail als "kritiek" bestempelen (met een CVSS-score van 7.8, maar een enorme impact in de praktijk):

Onzichtbaarheid: Omdat de aanval plaatsvindt in het werkgeheugen (RAM) en niet op de harde schijf, blijven fysieke bestanden ongewijzigd. Traditionele antivirusscanners die naar bestanden op de schijf kijken, zien niets. Na een herstart is het bewijs bovendien verdwenen.
Universele betrouwbaarheid: Waar veel exploits afhankelijk zijn van geluk (race conditions) of specifieke systeeminstellingen, werkt de Copy Fail-exploit met 100% zekerheid op bijna alle distributies, waaronder Ubuntu, Red Hat, Amazon Linux en Debian.
Container-ontsnapping: De bug is een nachtmerrie voor cloud-omgevingen. Een aanvaller die een onbeveiligde container binnendringt, kan via Copy Fail de isolatie doorbreken en de onderliggende host-server overnemen.

Hoe is dit ontdekt?

Opvallend is dat de bug is gevonden met behulp van AI-gestuurde security-tools. Een proces dat voorheen jaren van handmatige code-audit zou vereisen, werd nu in minder dan een uur gekraakt. Dit markeert een nieuw tijdperk waarin kwetsbaarheden sneller worden gevonden door zowel verdedigers als aanvallers.

Wat moet je doen?

Als je bij ons een webhostingpakket, vps (managed of unmanaged) afneemt hoef je zelf niets te doen, wij hebben hiervoor een spoedonderhoud gedaan om dit te patchen op al onze servers.

De meeste grote Linux-distributeurs hebben inmiddels patches uitgebracht.

Update je kernel direct: Dit is de enige definitieve oplossing.
Mitigatie: Indien patchen niet direct mogelijk is, kan het uitschakelen van de algif_aead kernelmodule de aanvalsmogelijkheid blokkeren.
Monitor: Let op ongebruikelijke lokale activiteit op je servers, met name rondom het gebruik van cryptografische interfaces.

Conclusie Copy Fail herinnert ons eraan dat zelfs de meest stabiele systemen kwetsbaarheden kunnen bevatten die jarenlang onopgemerkt blijven. Voor IT-beheerders en developers is de boodschap simpel: patch vandaag nog.