april 8, 2026 eBuilder skriver avtal kring MDR/SOC med en hotellkedja.

mars 13, 2026 eBuilder skriver avtal om SOC-tjänst med mellansvensk kommun.

mars 2, 2026 Stort internationellt stålföretag väljer eBuilders Complorer för cybersäkerhetsutbildning.

mars 2, 2026 Stort internationellt stålföretag väljer eBuilder som leverantör för Penetrationstestning.

mars 2, 2026 En kommunikations-/brandingbyrå väljer eBuilders Complorer för cybersäkerhetsutbildning.

februari 13, 2026 eBuilder Security skriver avtal om kontinuerlig pentesting med ett svenskt AI-bolag.

februari 11, 2026 eBuilder Security säljer Complorer säkerhetsutbildning till en a-kassa.

januari 30, 2026 eBuilder skriver 3års-avtal med en svensk kommun för MDR/SOC.

april 8, 2026 eBuilder skriver avtal kring MDR/SOC med en hotellkedja.

mars 13, 2026 eBuilder skriver avtal om SOC-tjänst med mellansvensk kommun.

mars 2, 2026 Stort internationellt stålföretag väljer eBuilders Complorer för cybersäkerhetsutbildning.

mars 2, 2026 Stort internationellt stålföretag väljer eBuilder som leverantör för Penetrationstestning.

mars 2, 2026 En kommunikations-/brandingbyrå väljer eBuilders Complorer för cybersäkerhetsutbildning.

februari 13, 2026 eBuilder Security skriver avtal om kontinuerlig pentesting med ett svenskt AI-bolag.

februari 11, 2026 eBuilder Security säljer Complorer säkerhetsutbildning till en a-kassa.

januari 30, 2026 eBuilder skriver 3års-avtal med en svensk kommun för MDR/SOC.

Company News

Dataintrång

CISA listar nio år gammal Linux-bugg efter aktiva angrepp

Blog Reading Time

4 Lästid / maj 4, 2026

CISA lade på fredagen till CVE-2026-31431 i sin katalog över Known Exploited Vulnerabilities, vilket bekräftar att en nio år gammal sårbarhet i Linux-kärnan utnyttjas i aktiva angrepp. Sårbarheten, som forskare på Theori och Xint döpt Copy Fail, har CVSS-poäng 7,8 och låter vilken lokal användare som helst eskalera till root-behörighet genom ett 732 byte stort Python-skript som fungerar oförändrat på alla stora Linux-distributioner sedan 2017.

Federala myndigheter har till 15 maj 2026 på sig att installera säkerhetsuppdateringar enligt Binding Operational Directive 22-01. Tidsramen speglar CISAs bedömning att Copy Fail utgör omedelbar risk för myndighetssystem, trots att det rör sig om lokal behörighetseskalering snarare än fjärrkörning av kod.

Exploitet kräver inga kernel-offset eller race conditions

Copy Fail är ovanligt bland Linux-kernel-exploit eftersom det inte kräver några tidsfönster, fingeravtryck av kernel-version eller distributionsspecifika offset. Enligt Microsoft Defenders analys ligger felet i algif_aead-modulen där en in-place-optimering gör att käll- och destinationsscatterlistor pekar på samma page-cache folio. När kärnan utför AEAD-dekryptering skriver den 4 bytes förbi utdatabufferten in i levande delat minne.

Angriparen kontrollerar dessa 4 bytes genom längdfältet för associerad data i AEAD-kontrollmeddelandet. Upprepat över en setuid-binärs textsektion skriver detta över startpunkten med shellcode som anropar setresuid(0,0,0) innan det startar ett root-skal. Modifieringen existerar endast i page cache, filen på disk förblir oförändrad, vilket gör upptäckt genom traditionella filintegritetsverktyg ineffektiv.

Kasperskys bedömning fångar varför detta spelar roll för företagsmiljöer: ”Exploitation does not require the use of complex techniques such as race conditions or memory address guessing, lowering the barrier to entry for potential attackers.”

Container-miljöer är det primära målet

Microsoft Defender ”seeing preliminary testing activity” som tyder på ökat utnyttjande från threat actors kommande dagar. Företagets forskarteam noterade att även om Copy Fail inte är fjärrutnyttjbart ensamt, blir det ”highly impactful when chained with initial access vectors such as secure shell access, malicious CI job execution, and container footholds.”

Container-isolering är särskilt sårbar eftersom Docker, LXC och Kubernetes ger processer inuti containers tillgång till AF_ALG-subsystemet som standard om algif_aead-modulen är laddad på värdkärnan. Den konfigurationen låter Copy Fail bryta container-gränser och kompromissa den underliggande fysiska maskinen.

Felet påverkar miljontals Kubernetes-kluster och en betydande del av cloud Linux-arbetsbelastningar, enligt Microsofts bedömning. Inte ens Windows Subsystem for Linux-användare är immuna, WSL2 kör en riktig Linux-kärna som kan komprometteras genom Copy Fail, och Microsoft bekräftar att de kommer leverera en uppdaterad WSL2-kärna genom Windows Update som del av maj 2026 Patch Tuesday.

Nordiska cloud-leverantörer bör agera denna vecka

Nordiska teknikföretag som kör Linux-infrastruktur bör verifiera kernel-versioner omedelbart. Stora distributioner inklusive Red Hat, SUSE, Ubuntu och AWS Linux påverkas. Rättningar finns tillgängliga i kernel-versionerna 6.18.22, 6.19.12 och 7.0, även om vissa distributioner inklusive Red Hat Enterprise Linux och äldre Ubuntu-utgåvor inte hade levererat säkerhetsuppdateringar per 2 maj.

Om omedelbar uppdatering inte är möjlig, stäng av algif_aead-modulen helt. CISA-bulletinen rekommenderar detta som en tillfällig åtgärd, även om det bara fungerar om applikationer inte legitimt kräver den påverkade kryptografiska funktionaliteten. Organisationer bör också implementera seccomp-regler som blockerar AF_ALG socket-skapande och genomdriva snabb nod-återvinning i container-miljöer efter eventuella komprometteringsindikatorer.

Fönstret för åtgärder krymper. Go- och Rust-versioner av det ursprungliga Python-exploitet har redan dykt upp i publika repositories enligt Kaspersky, vilket tyder på att threat actors anpassar proof-of-concept för produktionsanvändning.

Referenser

This post is also available in: English