Een in 2017 voor het eerst gemelde kwetsbaarheid in de Linux-kernel – bekend als de 'Copy Fail'-bug – is nog steeds aanwezig op servers die veel cryptobeurzen en walletdiensten aandrijven, wat deze week opnieuw alarm slaat in de cybersecuritywereld. Het lek, dat privilege-escalatie mogelijk maakt via een raceconditie in de copy-on-write-geheugenafhandeling, kan een aanvaller volledige controle geven over een doelwitmachine als het wordt uitgebuit via een lokaal toegangsvectort. Hoewel de bug jaren geleden is gepatcht, waarschuwen beveiligingsonderzoekers dat talloze productiesystemen nog steeds ongepatcht zijn, waardoor platforms voor digitale activa worden blootgesteld aan mogelijke diefstal of datacompromittering.
De fout die niet wil sterven
Geregistreerd als CVE-2017-1000112, werd de bug ontdekt door een Google-onderzoeker en snel verholpen in reguliere Linux-distributies. Maar in de praktijk is patching inconsistent gebleken. Veel cryptobedrijven draaien aangepaste kernels of vertrouwen op langetermijnondersteuningsversies die niet altijd tijdig updates krijgen. De kwetsbaarheid maakt misbruik van het geheugenbeheer van de kernel om containerbeperkingen te omzeilen of van een gebruiker met lage rechten naar root te escaleren. Voor een cryptobeurs betekent dit dat een aanvaller die een API-sleutel of webapplicatie compromitteert, vervolgens kan overstappen naar de onderliggende server en hot wallets kan leegtrekken of handelslogica kan manipuleren.
Waarom cryptoservers een doelwit zijn
Blockchaininfrastructuur leunt zwaar op Linux – het is het besturingssysteem bij uitstek voor node-operators, mining pools en exchange-backends. De 'Copy Fail'-bug is vooral gevaarlijk in multi-tenant omgevingen, zoals gehoste walletdiensten of cloudgebaseerde handelsplatforms, waar één gecompromitteerde virtuele machine kan overlopen naar naburige instanties. Onderzoekers van verschillende beveiligingsbedrijven hebben het probleem dit jaar in besloten branchebriefings aan de orde gesteld, waarbij ze opmerkten dat een opvallend aantal geauditeerde cryptosystemen nog steeds kernels draait die van vóór de patch uit 2017 zijn.
Wat operators moeten doen
Er is geen nieuwe oplossing – de remedie is al jaren beschikbaar. Het probleem is adoptie. Beurs- en walletoperators worden aangespoord om onmiddellijk hun serverpark te auditen, waarbij kernelversies worden gecontroleerd tegen de CVE-database. Velen zullen merken dat ze in orde zijn; sommigen zullen ontdekken dat ze op een tijdbom draaien. De langetermijnondersteuningskernels van de Linux Foundation bevatten de patch, maar aangepaste builds of legacy-distributies missen deze vaak. Red Hat, Debian en Ubuntu hebben de oplossing jaren geleden al teruggepoort, maar alleen als het systeem sinds eind 2017 is bijgewerkt. Een handmatige controle met het commando 'uname -r' en het kruisverwijzen naar de getroffen versies van de CVE wordt aanbevolen als eerste stap.
Geen nieuwe kwetsbaarheid, hetzelfde oude risico
Het 'Copy Fail'-verhaal is geen zero-day-paniek. Het is een herinnering dat infrastructuurschuld snel oploopt in crypto, waar snelheid naar de markt vaak prevaleert boven beveiligingshygiëne. Verschillende blockchain-beveiligingsauditors hebben hun klanten privé laten weten dat het patchen van deze oude bug hun belangrijkste aanbeveling voor dit kwartaal is. Of de industrie luistert, hangt af van hoeveel beurzen een zeven jaar oude kernelbug als een echte dreiging beschouwen in plaats van een theoretische. De volgende concrete stap: verwacht meer openbare adviesberichten van beveiligingsteams terwijl ze in de komende weken scannen op ongepatchte systemen.
