Linux' nieuwste kernelbug heeft geen chique naam; hij heet gewoon 'ssh‑keysign‑pwn'. Het is de vierde opvallende lokale beveiligingslek in Linux in slechts een paar weken. Deze stelt gewone gebruikers in staat om stilletjes enkele van de meest gevoelige bestanden op een systeem te lezen, waaronder Secure Shell (SSH) host private keys en het shadow password bestand.
De kwetsbaarheid krijgt zijn bijnaam 'ssh‑keysign‑pwn' van een van de belangrijkste exploitatiepaden: misbruik maken van OpenSSH's ssh-keysign helper binary. Keysign wordt gebruikt voor host-gebaseerde authenticatie en draait normaal gesproken setuid root, opent de SSH-hostkeys van het systeem voordat het rechten verlaagt om zijn werk af te maken.
Beveiligingsonderzoekers van beveiligingsbedrijf Qualys hebben CVE-2026-46333 onthuld, een informatielek in de ptrace-toegangscontrole van de Linux-kernel. Qualys beweert dat het in een of andere vorm al ongeveer zes jaar bestaat.
De fout zit in de __ptrace_may_access() logica die wordt uitgevoerd wanneer processen worden afgesloten. Onder bepaalde omstandigheden slaat de kernel normale 'dumpable' controles over zodra een proces zijn geheugenmapping heeft verwijderd. Dit opent een kort venster voor een ander proces om zijn bestandsdescriptoren te stelen.
Hoewel ssh‑keysign‑pwn niet direct een volledige root-shell oplevert, is de mogelijkheid om hostkeys en wachtwoordhashes te exfiltreren een krachtig bouwblok voor laterale beweging en langdurige persistentie. Bovendien kunnen aanvallers met gestolen SSH-hostkeys machines imiteren in host-gebaseerde vertrouwensrelaties. Met toegang tot de shadow password directory kunnen ze offline wachtwoordkraken proberen en die inloggegevens hergebruiken op andere systemen.
In zijn patch legde Linus Torvalds uit dat het probleem bestaat omdat 'We een vreemd speciaal geval hebben: ptrace_may_access() gebruikt 'dumpable' om verschillende andere dingen te controlen die volledig onafhankelijk zijn van de MM (meestal expliciet met vlaggen zoals PTRACE_MODE_READ_FSCREDS). Ook voor threads die geen VM meer hebben (en misschien nooit hebben gehad, zoals de meeste kernelthreads). Het is niet waar deze vlag voor ontworpen is, maar het is wat het is.'
Wat dat voor jou en mij betekent, is dat door deze logische fout te combineren met de pidfd_getfd(2) systeemcall, onbevoegde gebruikers kunnen reiken naar bevoorrechte processen die midden in het afsluiten zitten, hun nog open bestandsdescriptoren kunnen grijpen en vervolgens kunnen lezen uit bestanden die normaal alleen toegankelijk zijn voor root.
Het goede nieuws is dat de fix er is. Linux stable maintainer Greg Kroah‑Hartman heeft al updates uitgerold over meerdere ondersteunde branches, waaronder nieuwe releases zoals 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207 en 5.10.256, die allemaal de ssh‑keysign‑pwn fix bevatten. Je wilt zo snel mogelijk naar een van deze kernels overstappen. Dit lek treft alle Linux-kernels die zijn uitgebracht vóór 14 mei 2026.
Totdat gepatchte kernels breed beschikbaar zijn, hebben beveiligingsteams enkele mitigatiemogelijkheden, maar elke heeft zijn nadelen. Een snelle en vuile workaround is het aanscherpen van Linux' Yama ptrace-beperkingen, wat ptrace voor niet-root gebruikers uitschakelt en de exploit blokkeert, maar ook veel debug- en monitoringworkflows breekt. Je kunt de blootstelling ook verminderen door host-gebaseerde SSH-authenticatie en de ssh-keysign helper volledig uit te schakelen op systemen waar ze niet nodig zijn, hoewel dat SSH in zijn tracks stopt.
Zoals een vermoeid lid van het Manjaro Linux-team het verwoordde: 'Draai je pc niet als je het niet nodig hebt. Sluit jezelf op en kijk over je schouder.' Nou, dat is zeker een manier om ermee om te gaan!