Een bekende reactie op veel gevallen van beveiligingsgaten in Windows is Linux installeren. Maar nu treft een reeks ernstige kwetsbaarheden dat opensourcealternatief. Het gaat om gaten in de kern van het besturingssysteem, waarmee aanvallers rootrechten krijgen.
Zulk misbruik is niet zomaar op afstand te plegen, in tegenstelling tot bij kritieke gaten zoals Windows die al jaren kent. Toch is het nu alarmfase rood voor Linux, mede door de effectief gebleken inzet van AI-tools om deze kwetsbaarheden te vinden. We bespreken vijf vragen over deze kernelkwetsbaarheden in Linux.
Wat is er aan de hand?
De meimaand heeft dit jaar voor sommige tweakers mogelijk een nieuwe reputatie. Naast een oud spreekwoord over vogels, een Nederlandse tv-zenderslogan, een Tilburgse traditie en biodiversiteitsadvies krijgt deze maand nu een cybersecuritysausje.
Mei 2026 zag niet één, niet twee, niet drie, maar tot nu toe vier ernstige kwetsbaarheden in de kernel van Linux. Beveiligingsonderzoekers ontdekten gaten in die diepste kern van het besturingssysteem, waarna snel patches, maar ook publieke exploitcode volgden.
:strip_exif()/i/2007988818.jpeg?f=imagenormal)
Op zich zijn kwetsbaarheden in software niet uitzonderlijk. Alle code kan bugs bevatten, die mogelijkheden tot misbruik kunnen bieden. Zelfs de kernel van een besturingssysteem is daar niet van gevrijwaard. Misschien leek het vorig jaar alsof er ineens een stijging was van ontdekte kwetsbaarheden in de Linux-kernel. Dat kwam vooral door een beleidswijziging in het toekennen van nummers in de kwetsbaarhedendatabase CVE (Common Vulnerabilities and Exposures).
Wat nu wél uitzonderlijk is, is hoe snel van deze vier ontdekte kernelkwetsbaarheden met flinke impact elkaar opvolgen. Drie hiervan kregen klinkende namen: Copy Fail, Dirty Frag en Fragnesia. De vierde, nu net onthulde kwetsbaarheid mist nog wat marketing en is vooralsnog alleen bekend onder het toegekende nummer in de CVE-database. Deze CVE-2026-46333 krijgt ook wel de aanduiding 'ssh-keysign-pwn', naar een van de uitgebrachte exploits hiervoor. De teller voor beschikbare exploits voor dit vierde kernelgat staat nu op twee stuks.
De eerdere drie kernelkwetsbaarheden hebben ook hun eigen CVE-nummers: Copy Fail heeft CVE-2026-31431, Dirty Frag heeft CVE-2026-43284 plus CVE-2026-43500 en Fragnesia heeft CVE-2026-46300. Dirty Frag bestaat uit twee bugs die in gecombineerd gebruik de daadwerkelijke kwetsbaarheid opleveren.
Informatiever dan de nummeraanduidingen zijn de cijfers die de ernst van deze beveiligingsgaten aangeven. Copy Fail scoort een 7,8 op de CVSS-schaal van 10, Dirty Frag scoort een 8,8 en een 7,8 voor de twee onderliggende kwetsbaarheden, Fragnesia scoort een 7,8 en de vierde Linux-kernelkwetsbaarheid scoort ook een 7,8.
Hoe eenvoudig zijn deze kernelkwetsbaarheden te misbruiken?
De genoemde securityscores vallen op het eerste gezicht mee. Windows kreeg in Microsofts patchronde van deze maand nog updates voor kritieke kwetsbaarheden met CVSS-scores van 9,1 en zelfs 9,8. De relatief lage score van de Linux-kernelkwetsbaarheden is te danken aan mitigerende factoren. Zo is er een lokaal account nodig om er misbruik van te maken. Een ingelogde gebruiker kan op Linux-systemen de toegekende rechten drastisch verhogen: tot het verregaande niveau van root.
De kans op misbruik is hierdoor minder groot. Daarentegen is de impact van misbruik wél heel groot. Dit kan kwaadwillenden motiveren om andere bugs te verkennen, waarmee die vereiste van een lokaal account een eerste horde wordt. Verschillende kwetsbaarheden 'aaneenrijgen' om dan systemen te kunnen hacken, doen aanvallers wel vaker. Dirty Frag is hiervan een actueel praktijkvoorbeeld.
Het is natuurlijk makkelijker gezegd dan gedaan om nog een derde, vierde of vijfde bug te combineren om tot een geslaagde aanval te komen. De 'beloning' voor zulk werk is juist groot, dus kan dit zeker de moeite waard zijn.
:strip_exif()/i/2008162538.jpeg?f=imagenormal)
Bijkomend probleem is dat misbruik in sommige gevallen wel erg makkelijk te plegen is, als de horde van lokale toegang eenmaal is genomen. In het geval van Copy Fail hoeft een aanvaller met een lokaal account alleen een klein Python-script te draaien. De ontdekkers van deze kernelkwetsbaarheid melden dat het benodigde script slechts 732 bytes groot is.
In het geval van Dirty Frag volstaat een enkel commando om rootrechten te krijgen op een ongepatchte Linux-installatie. Root is machtiger dan een beheerdersaccount en geeft onbegrensde mogelijkheden voor alle bestanden, instellingen en software op het hele systeem.
Treffen deze kwetsbaarheden alle Linux-distro's?
Ja: Tails, Ubuntu, Debian, Red Hat, Fedora, SUSE en vele andere distributies zijn vatbaar. Maar daarnaast raken deze gaten ook Linux-uitvoeringen die intern bij cloudaanbieders draaien, zoals AWS Linux van Amazon en Azure Linux van Microsoft.
:strip_exif()/i/2008180496.jpeg?f=imagenormal)
Dat laatste maakt het gevaar wat groter. Op zulke systemen zijn er vele gebruikers die legitieme accounts hebben. Zulke bestaande accounts zijn in de regel beperkt tot lokale rechten, maar zijn door deze kwetsbaarheden te verheffen tot root. Waakzaamheid is dus belangrijker dan ooit: goede monitoring, strikte isolatie, op de hoogte blijven, mitigerende maatregelen nemen en andere logische beveiligingsstappen zetten, naast natuurlijk patchen.
Er zijn toch patches, dus geen probleem meer?
Er zijn inderdaad patches beschikbaar. De tot nog toe gevonden kernelkwetsbaarheden zijn verantwoord gemeld. Daardoor konden de kernelontwikkelaars van Linux de bugs onderzoeken en patches maken. Die patches verschenen snel en de diverse Linux-aanbieders brachten ze vlot uit voor hun respectievelijke distributies.
Gewone gebruikers krijgen deze patches aangeboden en kunnen die installeren. Daarbij is de snelheid van dit updaten minder kritiek. Consumenten lopen wat minder risico vanwege de vereiste van lokale rechten voor misbruik van de kernelkwetsbaarheden.
Bij organisaties die Linux gebruiken ligt dit wat anders: daar is snelheid belangrijker. Waakzame beheerders maken niet alleen haast met het installeren van de patches. Ze nemen ook mitigerende maatregelen – als die beschikbaar zijn – om kwetsbare functionaliteit af te schermen. Door zulk kordaat handelen zijn beveiligingsgaten niet meteen een groot probleem.
Daarvoor is het wel nodig om het updatewerk snel uit te voeren. Dit geldt zowel voor de ontwikkeling van die updates als voor de installatie ervan door Linux-gebruikende organisaties.
Een niet onbelangrijk detail is dat de vierde kernelkwetsbaarheid van mei neerkomt op een vierde reboot van Linux-systemen in krap drie weken tijd. In ideale opstellingen is er redundantie door gebruik van meerdere servers die elkaar opvangen als er een uitvalt of moet herstarten voor een update van de kernel. Een reboot vormt dan geen probleem.
:strip_exif()/i/2008180498.jpeg?f=imagenormal)
De praktijk heeft niet altijd ideale opstellingen. Updaten gebeurt niet altijd snel en reboots kunnen wel degelijk impact hebben. Dit kan bijvoorbeeld door budgetkeuzes voor systemen of door capaciteitsgebrek bij beheerders. Bij verantwoord systeembeheer hoort ook patches testen, wat menskracht en tijd kost.
Simpelweg de beschikbaarheid van patches staat dan ook niet gelijk aan het gepatcht hebben van software. Weliswaar is dit een groter probleem bij consumenten die Windows gebruiken dan bij gebruikers die bewust voor Linux kiezen. Toch kan er tijd zitten tussen het uitkomen van patches en het gepatcht hebben van kwetsbare systemen.
Is het AIpocalypse nu?
Naast de tijd tussen verschijning van patches en installatie daarvan is er tijd nodig na de ontdekking van kwetsbaarheden om er patches voor te maken. Ook daarop ligt druk en die neemt nu toe door de effectieve inzet van AI-securitytools om code te scannen op kwetsbaarheden.
Betekenen de snel opeenvolgende ontdekkingen van Linux-kernelkwetsbaarheden dat de gevreesde AIpocalypse nu is aangebroken? Het lijkt erop dat de door AI-experts en beveiligingsonderzoekers voorspelde golf aan beveiligingsproblemen aanzwelt. Dit gaat dus niet om beveiligingsproblemen die ontstaan door AI-geschreven code, maar om beveiligingsproblemen die door AI zijn gevonden in bestaande code.
/i/2008170090.png?f=imagenormal)
Zo ontdekte Firefox-maker Mozilla onlangs dankzij AI 271 bugs in zijn browsercode. De in april uitgekomen versie 150 van de opensourcebrowser repareerde dat indrukwekkende aantal bugs, die Mythos van Anthropic had gevonden. Daarentegen vond diezelfde AI-securitytool in de veelgebruikte commandlinetool curl slechts vijf kwetsbaarheden, waarvan er vier onterecht bleken. Ondertussen biedt Anthropic-concurrent OpenAI een eigen AI-securitytool.
De verschillen in omvang van de code van curl, Firefox en Linux zijn wel significant. Hoe groter de codebasis van een stuk software is, hoe groter de kans op bugs. Door de aard van opensource kan iedereen naar de broncode kijken en dus bugs vinden, melden en fixen. Dit heet de Wet van Linus, vernoemd naar Linux-maker Linus Torvalds, die ooit stelde: "Vele ogen maken alle bugs ondiep."
/i/2007712784.png?f=imagenormal)
Voor dit voordeel van opensource is het wel nodig dat er genoeg mensen met voldoende expertise kijken naar de code. Tot nu toe zijn er zulke experts en werken zij mee aan de verbetering van software. Daartegenover staan andere experts die doelbewust zoeken naar bugs om die uit te buiten. Dit geeft een ratrace, waarbij soms de kwaadwillenden even een voorsprong claimen.
De omarming van AI-tools verandert deze dynamiek. Weliswaar zijn AI-modellen en -toepassingen zeker niet onfeilbaar en 'verzinnen' ze ook zaken. In het geval van bugs en bugmeldingen kan dit een overdaad aan AI-slop geven. Voor gemotiveerde beveiligingsonderzoekers en aanvallers valt er in die stortvloed wel goud te vinden. Dat merkten ook de ontdekkers van deze kernelkwetsbaarheden, toen ze AI-tools de opdracht gaven om verder te speuren naar soortgelijke bugs. De ene kernelkwetsbaarheid leidde als het ware naar de andere.
Eind april waarschuwde beveiligingsexpert Josh Bressers al dat de Wet van Linus toe is aan een realiteitscheck. Gebruik van AI-tools op basis van grote taalmodellen (llm's) brengt schrikbarend veel bugs aan het licht, schreef hij voordat de kernelkwetsbaarheden bekend werden.
Het maakt volgens Bressers niet uit of een opensourceproject groot of klein is. Ook de kwaliteit van een AI-tool doet er niet heel veel toe. "Zelfs de slechte llm's vinden dingen." Een broodnodige herziening van de Wet van Linus is volgens hem dan ook dat 'vele llm's ervoor zorgen dat je kwetsbaarheden voor eeuwig blijft onthullen'.
Redactie: Jasper Bakker • Eindredactie: Marger Verschuur
:strip_exif()/i/2004648162.jpeg?f=fpa)
/i/2004673266.png?f=fpa)
:strip_exif()/i/2007550280.jpeg?f=fpa)
:strip_exif()/i/2004648164.jpeg?f=fpa)
/i/2004764136.png?f=fpa)
/i/2005741458.png?f=fpa)
/i/2006734102.png?f=fpa)
/i/2004763582.png?f=fpa)
:strip_icc():strip_exif()/u/219282/crop65bfaacd66e4c_cropped.jpg?f=community){kind=small}
:strip_exif()/u/38542/Scrat1ani.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/78725/train-icon3.jpg?f=community){kind=small}
/u/83736/crop68eea12e99023_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/116610/Baby.tux.sit-icon.jpg?f=community){kind=icon}
:strip_exif()/u/1658/elmuerte-avatar60.gif?f=community){kind=avatar}
:strip_icc():strip_exif()/u/355633/crop611ab17eb2582_cropped.jpg?f=community){kind=small}
/u/176086/crop5f0823fa5e8d6_cropped.png?f=community){kind=small}
/u/115333/crop5f45784fcadad_cropped.png?f=community){kind=small}
:strip_exif()/u/1475916/crop5f97ed524ff8b.gif?f=community){kind=small}
/u/75437/crop5daf1210eb5fc.png?f=community){kind=small}