Cybersecurity-onderzoekers hebben details onthuld van een kwetsbaarheid in de Linux-kernel die negen jaar onopgemerkt bleef.
De kwetsbaarheid, bijgehouden als CVE-2026-46333 (CVSS-score: 5,5), is een geval van onjuist privilegebeheer waardoor een lokale gebruiker zonder rechten gevoelige bestanden kan vrijgeven en willekeurige opdrachten als root kan uitvoeren op standaardinstallaties van verschillende grote distributies zoals Debian, Fedora en Ubuntu. Het heeft ook de codenaam ssh-keysign-pwn.
Volgens Qualys, die de fout ontdekte, is het probleem geworteld in de __ptrace_may_access()-functie van de kernel en werd het in november 2016 geïntroduceerd.
“De primitief is betrouwbaar en verandert elke lokale shell in een pad naar root of naar gevoelig referentiemateriaal”, zegt Saeed Abbasi, senior manager van Threat Research Unit bij Qualys.
Succesvol misbruik van de fout zou een lokale aanvaller in staat kunnen stellen /etc/shadow vrij te geven en privésleutels onder /etc/ssh/*_key te hosten, en willekeurige commando’s als root uit te voeren via vier verschillende exploits gericht op chage, ssh-keysign, pkexec en accounts-daemon.
De onthulling komt als een proof-of-concept (PoC) exploit voor de kwetsbaarheid die vorige week werd vrijgegeven, kort nadat een openbare kernel-commit naar voren kwam. CVE-2026-46333 is het nieuwste beveiligingsprobleem dat de afgelopen maand in de Linux-kernel is onthuld, na Copy Fail, Dirty Frag en Fragnesia.
Het wordt aanbevolen om de nieuwste kernelupdate van Linux-distributies toe te passen. Als de updates niet onmiddellijk kunnen worden uitgevoerd, zijn tijdelijke oplossingen onder meer het verhogen van “kernel.yama.ptrace_scope” naar 2.
“Op hosts die niet-vertrouwde lokale gebruikers hebben toegestaan tijdens de blootstellingsperiode, moeten SSH-hostsleutels en lokaal in de cache opgeslagen inloggegevens worden behandeld als mogelijk openbaar gemaakt”, aldus Qualys. “Roer hostsleutels en bekijk al het administratieve materiaal dat in het geheugen van set-uid-processen leefde.”
De ontwikkeling volgt op de release van een PoC voor een zogenaamde escalatiefout in lokale privileges Pindiefstal waarmee lokale aanvallers rootrechten kunnen verkrijgen op Arch Linux-systemen. De exploit vereist dat de Reliable Datagram Sockets (RDS)-module op het doelsysteem wordt geladen, dat io_ring is ingeschakeld, een leesbare SUID-root binary en x86_64-ondersteuning voor de inbegrepen payload.
“PinTheft is een Linux-exploit voor escalatie van lokale privileges voor een RDS zerocopy double-free die kan worden omgezet in een pagina-cache-overschrijving via io_uring vaste buffers”, aldus Zellic en het V12-beveiligingsteam.
“De bug leefde in het RDS zerocopy-verzendpad. rds_message_zcopy_from_user() pint gebruikerspagina’s één voor één vast. Als een latere pagina een fout veroorzaakt, verwijdert het foutpad de pagina’s die al waren vastgezet, en latere opschoning van RDS-berichten verwijdert ze weer omdat de spreidingslijstvermeldingen en het aantal vermeldingen live blijven nadat de zcopy-melding is gewist. Elke mislukte zerocopy-verzending kan één referentie van de eerste pagina stelen.”
