Onderzoekers van Nebula Security hebben GhostLock (CVE-2026-43499) onthuld, een 15 jaar oude Linux-kernelfout waarmee elke ingelogde gebruiker volledige root-controle kan krijgen over een machine die nog niet is gepatcht.
De kwetsbare code is sinds 2011 standaard in vrijwel elke reguliere distributie aanwezig. De fout heeft geen speciale toestemming, geen ongebruikelijke instellingen en geen netwerktoegang nodig; gewone threading-oproepen vanuit elk lokaal programma zijn voldoende.
Nebula heeft er een werkende root-exploit van gemaakt die voor 97% betrouwbaar is in de tests en die ook uit containers ontsnapt. Volgens Google heeft Google het team $92.337 toegekend via zijn kernelCTF bug-bounty-programma.
Het is niet bekend dat niemand het in het wild exploiteert, maar Nebula heeft werkende exploitcode gepubliceerd, zodat iedereen het nu kan uitvoeren. Patchen heeft de prioriteit.
Hoe de bug werkt
De kernel heeft een systeem om te voorkomen dat een urgente taak achter een triviale taak blijft hangen. Een deel ervan is een opruimstap die na een taak opruimt zodra deze niet meer wacht.
Normaal gesproken werkt dat prima. Maar in één zeldzaam geval, waarbij een vergrendelingsoperatie op een dood spoor belandt en zich moet terugtrekken, wordt de opruiming op het verkeerde moment uitgevoerd en wordt het record van de verkeerde taak gewist.
Die fout zorgt ervoor dat de kernel een “noot” vasthoudt die verwijst naar een stukje geheugen dat het al heeft weggegooid en hergebruikt. Het vertrouwen op die oude aanwijzer is de hele bug, het soort slip dat bekend staat als een use-after-free. Van daaruit heeft het team van Nebula een paar slimme stappen gezet om die kleine fout om te zetten in volledige controle, en uiteindelijk door de kernel te misleiden om hun eigen code uit te voeren als de almachtige “root” -gebruiker. Op hun testmachine duurde het ongeveer vijf seconden.

De fout zit al sinds 2011 in Linux en is in april verholpen, waarbij distributies nu de patch (3bfdc63936dd) uitrollen. Het is van invloed op bijna elke Linux-build en scoort een 7,8 op 10 (hoog, niet kritisch) omdat een aanvaller al op de machine moet zijn ingelogd. Nebula vond het met VEGA, zijn AI-gestuurde tool voor het zoeken naar insecten.
Wat te doen
Installeer de huidige kernel van uw distributie, niet alleen de eerste gepatchte build. De oorspronkelijke oplossing introduceerde een afzonderlijke crashbug (CVE-2026-53166), en de opruiming daarvoor was begin juli nog bezig, dus bij vroege builds kan het zijn dat de definitieve versie ontbreekt.
Er is geen volledige oplossing, omdat de bewerkingen die dit activeren routine zijn voor elk lokaal proces.
De beschikbaarheid is tot nu toe ongelijk. Ubuntu had bijvoorbeeld zijn nieuwste release en enkele cloudkernels gepatcht, maar vermeldde begin juli nog steeds 24.04, 22.04 en 20.04 LTS als kwetsbaar of in uitvoering. Controleer het advies van uw distributie en bevestig de vaste pakketversie in plaats van aan te nemen dat er een wacht.
Twee bouwopties, RANDOMIZE_KSTACK_OFFSET en STATIC_USERMODE_HELPER, maken deze exploit moeilijker, maar het zijn oplossingen en geen oplossingen. Patch eerst gedeelde en multi-tenant machines, cloudservers, containers en CI-runners, waar een aanvaller het meest waarschijnlijk de lokale voet aan de grond zal vinden die deze bug nodig heeft.
Niet de enige kernel-naar-root bug dit jaar
GhostLock sluit zich aan bij een reeks Linux-bugs met privilege-escalatie uit 2026, waarvan er verschillende één detail gemeen hebben: een geautomatiseerde tool heeft ze gevonden.
VEGA heeft GhostLock gevonden; dagen eerder onthulden onderzoekers Bad Epoll (CVE-2026-46242), een nauwe neef die ook een gebruiker zonder rechten in root verandert. Het werd bewezen via kernelCTF en werkt, ongebruikelijk voor deze klasse van bugs, op Android.
Bad Epoll bevindt zich in hetzelfde stuk code waar het Mythos-model van Anthropic een gerelateerde fout kreeg. Wat ze delen zijn oude, intensief gebruikte kernelmachines die maar weinigen in de afgelopen jaren hadden herlezen, totdat geautomatiseerde tools deze begonnen te kammen. De prioriteitsovererving van Futex dateert uit 2011. De klasse is niet theoretisch: een andere bug uit 2026, Copy Fail (CVE-2026-31431), staat al op de CISA-lijst van kwetsbaarheden die worden aangetroffen bij aanvallen in de echte wereld.
GhostLock is ook de tweede helft van een reeks Nebula-oproepen IonStack. De eerste helft, CVE-2026-10702, is een fout in Firefox die code in de browser uitvoert en uit de sandbox ontsnapt; GhostLock draagt het de rest van de weg naar de root.
Nebula heeft de volledige keten al gedemonstreerd, van een enkele tik op een kwaadaardige link tot volledige controle, tegen Firefox op Android. Dat is de reden waarom een ”alleen lokale” kernelbug er nog steeds toe doet: op zichzelf heeft het een vaste voet nodig, maar als het aan een browser-exploit wordt gekoppeld, wordt het een compromis op afstand. Nebula zegt dat er een volledig verslag van de Android-exploit volgt.