Microsoft en de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) hebben onlangs een waarschuwing afgegeven over een nieuw beveiligingsprobleem in de Linux-kernel, waarbij ze zeggen dat het probleem een groot aantal reguliere distributies kan treffen, waaronder Ubuntu, Red Hat, SUSE, Debian, Fedora, Arch Linux en Amazon (AWS) Linux, en dat het aantal betrokken apparaten miljoenen kan bedragen.
De kwetsbaarheid heeft nummer CVE-2026-31431 en heeft een CVSS-score van 7,8. Het wordt vermeld in de directory "Known Exploited Vulnerabilities" van CISA, die het beschouwt als een veel voorkomende aanvalsvector voor kwaadwillende aanvallers en een aanzienlijk risico vormt voor federale instanties en de bredere bedrijfsomgeving.
CISA wees er in het advies op dat dit een kwetsbaarheid is waarbij "de Linux-kernel op onjuiste wijze bronnen overdraagt tussen verschillende beveiligingsdomeinen". Als er misbruik van wordt gemaakt, kan dit ervoor zorgen dat lokale machtigingen worden verhoogd naar het rootniveau. Dit soort lokale escalatie van privileges is vooral gevaarlijk in zwaar gecontaineriseerde en multi-tenant werklastomgevingen die op deze distributies zijn gebaseerd, omdat zodra een aanvaller initiële toegang tot het systeem krijgt, er een mogelijkheid is om de isolatie verder te doorbreken en de controle over het hele knooppunt over te nemen.
Red Hat heeft vorige maand een beveiligingsadvies uitgebracht met een meer gedetailleerde technische verklaring voor dit probleem. Volgens de aankondiging verschijnt de kwetsbaarheid in de algif_aead-coderingsalgoritme-interface in de Linux-kernel. Als gevolg van de introductie van een onjuiste "in-place operatie"-implementatie is de geheugentoewijzing van de brongegevens en de doelgegevens inconsistent. Als gevolg hiervan kunnen er tijdens de versleuteling onverwachte problemen met gedrag of gegevensintegriteit optreden, waardoor de betrouwbaarheid van de versleutelde communicatie wordt aangetast.
Beveiligingsonderzoekers van Microsoft hebben de logische fout in het kernelversleutelingssubsysteem verder opgespoord en wezen erop dat het probleem zich concentreerde op een optimalisatie van de algif_aead-module onder het AF_ALG-framework dat in 2017 werd geïntroduceerd. 'In-place optimalisaties' zorgden er destijds voor dat de kernel het brongeheugen ten onrechte hergebruikte als bestemmingsbuffer bij het uitvoeren van bepaalde cryptografische bewerkingen. Een aanvaller kan de interactie tussen de AF_ALG socketinterface en de splice()-systeemaanroep misbruiken om een gecontroleerde schrijfactie van 4 bytes in de kernelpaginacache te bewerkstelligen, waardoor op nauwkeurige wijze met kritieke datastructuren wordt geknoeid.
Onderzoekers zeiden dat dit aanvalsproces kan worden geïmplementeerd via een Python-script en kan worden aangepast voor binaire bestanden met hoge bevoegdheden, zoals /usr/bin/su, zodat het direct met root-rechten kan worden uitgevoerd wanneer het wordt uitgevoerd. In tegenstelling tot veel kernel-exploits die afhankelijk zijn van race-omstandigheden, is de exploitatie van dit beveiligingslek niet afhankelijk van timing-races, maar kan deze op een deterministische manier stabiel worden gereproduceerd via een klein script van ongeveer 732 bytes. Deze kwetsbaarheid wordt beschouwd als een "zeer betrouwbare" manier om bevoegdheden te escaleren, omdat deze met weinig aanpassingen met succes kan worden uitgebuit op een verscheidenheid aan grote distributies.
In een cloud computing-omgeving worden de risico's die deze functie met zich meebrengt verder vergroot. Veel containers delen dezelfde hostkernel. Zodra deze kwetsbaarheid in de onderliggende kernelversie aanwezig is, kan een inbreuk op een enkele container zich verspreiden naar het volledige knooppunt dat volledig wordt overgenomen. Microsoft waarschuwt dat zelfs als een aanvaller in eerste instantie slechts beperkte toegang heeft, zoals inloggen als gebruiker met weinig bevoegdheden via SSH of het verkrijgen van uitvoeringsmogelijkheden in een CI/CD-pijplijn, dit beveiligingslek voldoende kan zijn om te escaleren naar rootrechten, containergrenzen te doorbreken, laterale verplaatsing mogelijk te maken en andere werklasten in een omgeving met meerdere tenants te infecteren.
Momenteel bevinden de publiekelijk waargenomen gebruiksactiviteiten zich voornamelijk in de proof-of-concept (PoC)-fase en zijn ze nog niet op grote schaal bewapend en verspreid. Niettemin heeft Microsoft detectiehandtekeningen vrijgegeven via Microsoft Defender XDR om alle soorten organisaties te helpen potentiële misbruikpogingen en gecompromitteerde systemen te identificeren. Microsoft dringt er ook bij het beveiligingsteam op aan om kernelupdates zo snel mogelijk uit te voeren nadat elke release overeenkomstige patches heeft opgeleverd om risico's fundamenteel te elimineren.
Totdat er een patch volledig beschikbaar is, raadt Microsoft aan een reeks beperkende maatregelen te nemen, waaronder het tijdelijk uitschakelen van getroffen gerelateerde cryptografische functies of het voorkomen van het maken van AF_ALG-sockets om de blootstelling aan aanvalsoppervlakken te verminderen. Bovendien moet het toegangscontrolebeleid worden versterkt om de reikwijdte van accounts te beperken die willekeurige code op het systeem kunnen uitvoeren, en moet netwerkisolatie worden gebruikt om de mogelijkheid van laterale verspreiding in de interne omgeving na een enkel compromis te verminderen. Voor knooppunten met verdachte signalen zijn snel herstel en reconstructie, gekoppeld aan log-audit en gedragsdetectie, ook belangrijke middelen om risico's op de lange termijn te verminderen.
