2 uren geleden
1
De laatste weken luidt de noodklok meermaals voor een kritieke kwetsbaarheid in de Linux-kernel. Hoe komt dat? Hebben we AI te danken voor de ontdekkingen? En moeten we meer soortgelijke incidenten verwachten?
Het viertal kernel-kwetsbaarheden kenmerkt zich door het feit dat ze alleen exploiteerbaar zijn als een aanvaller al op een andere manier toegang heeft verkregen. Ook zijn het geen memory safety-fouten, normaliter de meest voorkomende kwetsbaarheden, maar hebben ze te maken met fouten in de fundamentele logica in de werkwijze van de kernel.
Drie en één
Met name Copy Fail en Dirty Frag hebben veel publiciteit ontvangen, mede omdat Fragnesia en ssh-keysign-pwn pas zeer recent zijn ontdekt. Ook zijn de eerste twee kwetsbaarheden al geëxploiteerd “in the wild”, met daarom een hoge urgentie om patches door te voeren in de getroffen Linux-distributies.
Er is nog een andere onderscheiding tussen de kwetsbaarheden. Copy Fail (CVE-2026-31431) legde een conceptuele fout bloot in de werking van de Linux-kernel, specifiek het cryptografische subsystem. Een enkel Python-script, slechts 732 bytes groot, kan al tot een exploitatie leiden. Zoals Palo Alto Networks’ Unit 42 uitlegt, kan een kwaadwillende hierdoor uit Kubernetes-containers ontsnappen, multi-tenant hosts inhalen en CI/CD-pipelines compromitteren.
In bredere zin bleek Copy Fail een logicafout bloot te leggen in de Linux-kernel. Deze leidde tot de ontdekking van Dirty Frag, waarbij tevens een enkel script kan leiden tot de escalatie van privileges. Hierbij werkten twee kwetsbaarheden (CVE-2026-43284 en CVE-2026-43500) samen om kwetsbare componenten rondom het netwerk en geheugen te exploiteren. Een nieuwe variant volgde al gauw nadat organisaties net hun mitigaties en patches hadden doorgevoerd: Fragnesia. Hierbij (CVE-2026-46300) is een andere bug in staat om het page cache-gedrag van Linux te misbruiken voor de escalatie van rechten. Daar waar Dirty Frag in rxrpc huishield, is hier de module esp/xfrm het aanvalspad.
De uitzondering op de regel is de nieuw ontdekte ssh-keysign-pwn. Het is in tegenstelling tot bovenstaande bugs ongerelateerd aan de page cache. In plaats daarvan kan een aanvaller met deze exploitatie root-owned bestanden lezen, zoals SSH host keys. De pidfd_getfd() system call wordt misbruikt om omschrijvingen uit setuid-binaries te stelen. Met andere woorden: een fundamenteel andere bug dan de eerdere drie, maar wegens de tumult rondom de andere kwetsbaarheden krijgt het meer aandacht dan een gebruikelijke, incidentele ontdekking van een kernel bug in Linux had ontvangen.
Eigenlijk één fout, maar wel een cruciale
De gedachte bestaat dat de open-source wereld in principe veiligere software zou produceren. Bij closed-source applicaties kunnen gebruikers, onderzoekers en developers niet zomaar weten welke code er draait. Zelfs tooling die de binaire code kan terugvertalen naar assembly en vervolgens een idee kan geven van de oorspronkelijke code, is conceptueel beperkt. Het is namelijk absoluut niet zo dat de hieruit gegenereerde code per definitie overeenkomt met de oorspronkelijke code. Het is in plaats daarvan een goede gok. Zelfs bij low-level talen als C, waarin de Linux-kernel voornamelijk geschreven is, blijft dit onzeker. Hierdoor zijn logicafouten niet zomaar te reverse-engineeren uit generieke applicaties. Maar bij open-source is er wel degelijk die kans, want de oorspronkelijke code is toegankelijk.
Ook nu werpt dat zijn vruchten af. Ook al waren sommige kwetsbaarheden al jaren oud (en daardoor mogelijk al heimelijk geëxploiteerd), ze zijn inmiddels ontdekt, gemeld, gemitigeerd en veelal gepatcht. Dat wil niet zeggen dat de rapportage vlekkeloos ging. Zo was de linux-distros-maillijst niet ingelicht over Copy Fail voordat het kernel security-team al ervan op de hoogte was en een stille patch uitvoerde. Vervolgens was de ontdekker van Dirty Frag genoodzaakt om halsoverkop de exploit te onthullen omdat een derde de stille commit al had ontcijferd.
Met de hoge frequentie aan gerapporteerde, ernstige fouten is dergelijke frictie funest. De communicatie binnen de open-source community zal sneller moeten zijn om exploits te voorkomen of in ieder geval minder vaak te laten slagen.
Speelt AI een rol?
Bij sommigen zal de vraag opkomen: heeft AI hierbij een rol gespeeld? Het wemelt van verhalen over de securityvaardigheden van Claude Mythos en OpenAI’s GPT-5.5-Cyber, met mogelijk enorme gevolgen voor het aantal kwetsbaarheden dat regelmatig ontdekt zal worden. Desondanks is er hier niet direct sprake van een grote golf aan AI-gedreven exploitaties. Tenminste, voor zover dat te ontdekken is. Enkel bij Fragnesia spreekt de ontdekker van een vondst via de “gevaarlijk krachtige agentic security”-tool V12. De exploitgeneratie zou via deze tool dus complexer zijn dan het oude ML-gebaseerde ‘pattern matching’-proces. Desondanks is Fragnesia een opvolger van een door menselijke onderzoekers ontdekte kwetsbaarheid, namelijk Dirty Frag.
De fouten zelf zijn ten slotte ook (nog) menselijk. Vooralsnog lijken AI-tools het securityniveau dus te hebben verhoogd van de Linux-kernel, wat een goede zaak is. Dat neemt niet weg dat het een reëel risico is dat AI-gedreven fouten geleidelijk geïntroduceerd worden in software. Het is niet al te realistisch om aan te nemen dat de Linux-kernel op dat gebied voortvarend op zal treden; in tegenstelling tot de ontwikkelaars eenvoudige vibe coded applicaties kan het maintainer-team van dit kritieke fundament voor het besturingssysteem zich geen fouten veroorloven. Die vinden bovendien al genoeg plaats, al laat dat tot nu toe alleen maar zien hoe menselijk het is om een foutje te maken.
Overigens spreken we over een regen aan Linux-kwetsbaarheden, en niet slechts door dit kwartet aan ‘druppels’. De opeenvolging aan cybergevaren wekt de indruk dat er meer zullen volgen. Het aantal ontdekte kwetsbaarheden brak hoe dan ook records afgelopen jaar. 50.000 CVE’s passeerden de revue in 2025, een 22 procent toename ten opzichte van het jaar ervoor. Als het specifiek om de Linux-kernel gaat, sprak TuxCare al begin 2025 over een “vloedgolf”. In de eerste 16 dagen van dat jaar waren er al meer CVE’s bekend binnen de Linux-kernel dan in geheel 2020 het geval was.
Toch zijn het de bovenstaande vier kernel-kwetsbaarheden die nog treffender laten zien dat de Linux-kernel steeds vaker steeds serieuzere kwetsbaarheden blijkt te bevatten. Het is belangrijk om ons eraan te herinneren dat het hierbij gaat om ontdekte cybergevaren; het aantal CVE’s is hoger, maar de werkelijke hoeveelheid kwetsbaarheden in de code zelf is mogelijk afgenomen, juist doordat ze gemeld worden.
Lees ook: Linux-kwetsbaarheid Dirty Frag treft vrijwel alle distributies
/s3/static.nrc.nl/wp-content/uploads/2026/05/12130028/120526VER_2033686126_vergoeding.jpg)
English (US) ·