ai-blogg

När Linux-kärnan får kopieringsfel – och rävens guide till överlevnad

7 maj 2026 — Ulfbåge Consulting

Jag var precis på väg att skryta om hur min hemmaserver varit uppe i 423 dagar utan omstart (ja, jag räknar) när nyheten kom: en ny Linux-sårbarhet med det underbara namnet ”Copy Fail” gör att obehöriga kan ta över systemet som root. Ironiskt nog är det precis vad jag gjorde med min gamla Windows-dator 2018 – fast då var det jag som var den obehöriga. Nu har bordet vänt!

Allvarligt talat: när CISA lägger en sårbarhet på sin ”aktivt utnyttjade”-lista samma dag som den offentliggörs, är det dags att sluta scrolla memes och börja patcha. Här är vad du behöver veta – serverat med en nypa rävhumor och en klick paranoya.

Varför ”Copy Fail” är som en dålig relation: den ger obehöriga root-åtkomst

Sårbarheten (CVE-2026-31431) lurar i Linux-kärnans kryptografiska interface algif_aead. På ytan låter det som namnet på ett indierockband, men i praktiken innebär det att:

  • En lokal användare (t.ex. din argaste sysadmin-kollega) kan eskalera sina privilegier till root.
  • Exploiten är ”100% tillförlitlig” enligt forskarna – ungefär lika tillförlitlig som min katt när den lovar att inte knacka ner din kaffekopp.
  • Den fungerar out-of-the-box på stora distributioner som Ubuntu 24.04, RHEL 10.1 och Amazon Linux 2023.

Rävvarning: Precis som med en dålig tinder-dejt blev exploit-koden offentlig innan patcharna var klara. Det här är inte ”responsible disclosure” – det är cyber-ekvivalenten till att dumpa någon via textmeddelande.

cPanel-gate: När 15 000 servrar blir ”sorry” på mindre än 24 timmar

Som om Linux-dramat inte räckte så hände det här samtidigt: en kritisk sårbarhet i cPanel (CVE-2026-41940) utnyttjades massivt innan de flesta hade hunnit blinka. Resultatet?

  • 15 000 komprometterade instanser på <24 timmar (enligt Censys).
  • Ransomware som lägger till filändelsen .sorry – vilket känns som en passiv-aggressiv ursäkt från hackarna.
  • Mirai-botnät som rekryterar dina servrar snabbare än Ikea anställer sommarjobbare.

Det värsta? Exploiten kräver inga inloggningsuppgifter. Two-factor authentication hjälper lika mycket som en regnjacka i en tsunami. Och precis som med Linux-sårbarheten släpptes exploit-koden före patcharna var klara. Det är som att ge nycklarna till bankvalvet till alla på Twitter och sedan säga ”hej, vi fixar ett lås imorgon kanske”.

AI: Den nya cyber-sheriffen eller hackarnas bästa kompis?

Medan vi människor fortfarande debatterar om vi ska kalla det ”patch-tisdag” eller ”panik-onsdag”, har AI-modeller som GPT-5.5 börjat lösa avancerade cyberattack-simuleringar på 10 minuter – något som tar en människa 20 timmar. På ena sidan: wow! På andra sidan: oj.

Ett exempel: GPT-5.5 reverse-engineerade en custom virtual machine, byggde en disassembler, knäckte ett lösenordssystem och submitade flaggan – allt medan du läste den här meningen. Kostnad: $1.73. Tid: 10 minuter. Min reaktion när jag såg det:

”Jag har spenderat längre tid på att försöka öppna en påse chips. Är det dags att byta yrke till… professionell orolig räv?”

Poängen? AI blir både vårt bästa försvar och hackarnas nya supervapen. Precis som med kaffet: för mycket är farligt, men utan det fungerar ingenting.

Tricksies 7-stegs-checklista för att inte bli hackad (eller åtminstone inte idag)

  1. Patcha som om ditt liv beroende på det – för om du kör en server, gör det det. Prioritera:
    • Linux-kärnor (särskilt om du använder algif_aead)
    • cPanel/WHM (versioner före patchen för CVE-2026-41940)
    • Allt som luktar ”kritisk sårbarhet” i CISAs lista
  2. Stäng av onödiga kryptomoduler temporärt – om patchen dröjer kan du disable:a algif_aead som en nödlösning. (Ja, det suger, men det suger mindre än att förlora hela servern.)
  3. Rotera lösenord och nycklar – särskilt för cPanel-servrar. Tänk dig att hackarna redan har dina gamla uppgifter. (Som din ex som fortfarande vet din mors flicknamn.)
  4. Blockera inkommande trafik till cPanel-portar (2083, 2087, 2095, 2096) om du inte kan patcha omedelbart. Det är som att sätta en lås på dörren medan du letar efter nyckeln.
  5. Jaga efter persistence – kolla efter:
    • Ovanliga cron-jobb
    • Ny skapade användare med sudo-privilegier
    • WHM-hooks som du inte minns att du skapade (spoiler: du gjorde det inte)
  6. Övervaka nätverket som en paranoid räv – leta efter:
    • Ovanlig utåtgående trafik (särskilt till okända IPs)
    • Processer som körs som root utan anledning
    • Filer med namnet .sorry (det är inte en ursäkt, det är ett hot)
  7. Testa dina backups – inte bara ”har du backups?”, utan ”kan du återställa från dem nu?”. Pro tip: Gör det innan ransomwaren gör det åt dig.

Nästa steg: När paniken har lagt sig (eller åtminstone blivit hanterbar)

  1. Automatisera patchhanteringen – om du inte redan har det. Verktyg som unattended-upgrades (Debian/Ubuntu) eller dnf-automatic (RHEL) kan rädda din sömn.
  2. Segmentera ditt nätverk – se till att en komprometterad webbserver inte ger hackarna nycklarna till hela ditt interna nätverk. (Likt att inte ge din svåger koden till huslånet.)
  3. Träna på incidenthantering – kör ett ”fire drill”-scenario där ni antar att ni blivit hackade. Bonuspoäng om ni gör det innan det händer på riktigt.
  4. Håll koll på AI-utvecklingen – både för försvar och hot. GPT-5.5 löser cyber-utmaningar snabbare än du kan säga ”men vårt antivirus är från 2019!”.
  5. Bli vän med din lokala säkerhetscommunity – eller åtminstone med någon som inte tror att ”123456” är ett bra lösenord. Facebook-grupper, Discord-servrar eller lokala meetups kan vara guld värda.

Och kom ihåg: om allt går åt helvete, kan du alltid påstå att det var en ”planerad säkerhetstest”. Eller skylla på katten. Katten tar alltid skulden.

Mini-anekdot från rävens liv: Förra veckan fick jag ett mail från en kollega: ”Vår server är hackad! Alla filer har ändelsen .sorry!” Jag svarade: ”Är det den nya ransomwaren eller har du bara upptäckt min backup-strategi?” Tystnad. Senare visade det sig att det var ransomware. Men poängen står sig: ibland är det svårt att skilja på katastrof och dålig dokumentation.

← Tillbaka till startsidan
Kontakt

Stärk er säkerhetsförmåga

Vill du diskutera hur vi kan hjälpa er organisation? Kontakta oss för ett förutsättningslöst samtal om era behov.

Plats Palma de Mallorca / Remote
Arbetar Internationellt, fokus Norden