Er is opnieuw een Linux-kernel root-exploit in het wild, en deze keer draait alles om een enkel karakter. CVE-2026-23111 is een use-after-free in nf_tables, het onderdeel van de Linux-kernel dat je firewall (nftables) aanstuurt. Met deze bug maakt een gewone, niet-geprivilegieerde gebruiker zichzelf root. Sinds 8 juni 2026 ligt de volledige technische uitleg op straat en is er een publieke exploit die op meer dan 99 procent van de geteste systemen werkt.
Draai je een Linux-VPS of dedicated server? Dan is dit een patch-vandaag situatie. In dit artikel lees je precies wat de kwetsbaarheid is, wie risico loopt, hoe je controleert of jouw server kwetsbaar is en hoe je hem nu mitigeert.
Wat is CVE-2026-23111?
CVE-2026-23111 is een use-after-free kwetsbaarheid in het nf_tables-subsysteem van de Linux-kernel. Onderzoeker Oliver Sieber van Exodus Intelligence vond de bug begin 2025 en bouwde er een volledige local privilege escalation omheen. De fix werd op 5 februari 2026 doorgevoerd, en die fix bestond letterlijk uit het verwijderen van een enkel uitroepteken in de broncode.
Op 8 juni 2026 publiceerde Exodus Intelligence de complete technische walkthrough. Het was niet eens de eerste publieke reproductie, want FuzzingLabs liet al in april zien dat de bug betrouwbaar te misbruiken is. Daarmee is dit geen theoretisch risico meer, maar een afgemaakte exploit die iedereen kan gebruiken.
Hoe werkt de kwetsbaarheid?
De kern van het probleem zit in omgedraaide logica in de functie nft_map_catchall_activate(). Wanneer een DELSET-transactie wordt afgebroken, wordt het herstellen van de referentietellers overgeslagen. Daardoor zakt de teller chain->use naar nul, terwijl er nog steeds catchall-elementen naar dat geheugen verwijzen.
Op het moment dat de kernel dat geheugen vrijgeeft, blijven er verwijzingen naar bestaan. Dat is de klassieke use-after-free situatie, en precies dat geeft een aanvaller de controle om code als root uit te voeren. De upstream-fix herstelde dit met een wijziging van precies een teken.
Wie loopt risico?
De exploit heeft twee dingen nodig: nf_tables en unprivileged user namespaces. Beide staan standaard aan op de meeste desktop-distributies en op veel server-distributies. Er is geen los netwerkpad, dus een aanvaller moet eerst lokale toegang hebben, bijvoorbeeld via een gehackte webapplicatie, een kwetsbare container of een gewoon gebruikersaccount.
Juist die laatste stap maakt dit zo gevaarlijk voor hosting. Een aanvaller die via een lek in jouw WordPress, webshop of API een shell krijgt als www-data, kan via CVE-2026-23111 doorstoten naar volledige root-toegang. Daarmee is de hele server compromised, niet alleen de applicatie.
Zo controleer je of je server kwetsbaar is
Begin met je huidige kernelversie opvragen:
uname -rVergelijk die versie vervolgens met de advisory van jouw distributie. De exacte gepatchte versie verschilt per distro, dus laat het versienummer leidend zijn, niet de naam van de release. Een handige check op Debian en Ubuntu:
apt-get changelog linux-image-$(uname -r) | grep -i 2026-23111Wil je weten of unprivileged user namespaces openstaan? Controleer de sysctl-waarde:
sysctl kernel.unprivileged_userns_clone
sysctl user.max_user_namespacesZo mitigeer je CVE-2026-23111 vandaag
1. Patch je kernel en herstart
De enige echte oplossing is een kernelpakket installeren met de fix erin, gevolgd door een reboot. De grote distributies hebben hun patches inmiddels klaar:
- Ubuntu: fixes voor 22.04, 24.04 en 25.10.
- Debian: opgelost in Bookworm en Trixie, met een 6.1-backport voor Bullseye LTS.
- Red Hat, SUSE en Amazon Linux: volgen de kwetsbaarheid eveneens, controleer hun specifieke advisory.
Op Debian en Ubuntu werk je bij met:
sudo apt update && sudo apt upgrade
sudo rebootEen nieuwe kernel wordt pas actief na een herstart. Plan die reboot dus echt in, want zonder reboot draai je nog steeds op de kwetsbare kernel.
2. Tijdelijke mitigatie als je niet direct kunt patchen
Kun je niet meteen herstarten? Beperk dan de aanvalsroute door unprivileged user namespaces uit te zetten. Dat haalt een van de twee voorwaarden voor de exploit weg:
sudo sysctl -w kernel.unprivileged_userns_clone=0
sudo sysctl -w user.max_user_namespaces=0Maak dit blijvend door de regels op te nemen in een bestand onder /etc/sysctl.d/. Let op dat sommige containeromgevingen user namespaces nodig hebben, dus test deze wijziging eerst voordat je hem breed uitrolt.
Het volledig uitschakelen van nf_tables is ook mogelijk, maar behandel dat als een noodmaatregel voor systemen waar de kernel niet snel gepatcht kan worden, waar nftables niet nodig is voor je firewall of containernetwerk, en waar je een geteste terugrol-procedure hebt. Voor de meeste teams is patchen plus namespace-restrictie de veiligere route.
3. Extra hardening
Beperk daarnaast het aantal accounts met lokale toegang en pas strikt least privilege toe. Hoe minder gebruikers en services lokaal kunnen draaien, hoe kleiner de kans dat iemand deze exploit überhaupt kan starten. Een goede basisinrichting van je server helpt enorm. In onze gids over een nieuwe Cloud VPS veilig inrichten in de eerste 24 uur lees je hoe je dat herhaalbaar aanpakt.
Wat dit betekent voor containers
Containers delen dezelfde kernel als de host. Een use-after-free in de kernel betekent daarom dat een aanvaller niet alleen root wordt binnen de container, maar er ook uit kan breken naar de host. Draai je Docker of een ander containerplatform op je VPS, dan is patchen van de host-kernel net zo belangrijk als het beveiligen van de containers zelf. Meer daarover lees je in ons artikel over een Docker-omgeving beveiligen met container hardening.
Onderdeel van een grotere golf kernel-exploits
CVE-2026-23111 staat niet op zichzelf. De afgelopen weken kende een ongewoon hoge stroom aan Linux local-root disclosures, waaronder Copy Fail, de Dirty Frag-keten en de Fragnesia-variant. Wie deze serie volgt, ziet een duidelijk patroon: kleine logicafouten met grote gevolgen, vaak met een publieke exploit binnen enkele weken.
We schreven eerder over Fragnesia (CVE-2026-46300) en over Dirty Frag (CVE-2026-43284 en CVE-2026-43500). De rode draad is steeds dezelfde: houd je kernel actueel, beperk lokale toegang en plan je reboots. Dat is de basis die je tegen vrijwel al deze exploits beschermt.
Hulp nodig met je serverbeveiliging?
Het bijhouden van kernelpatches, het inplannen van reboots en het hardenen van je server kost tijd en aandacht die je liever aan je bedrijf besteedt. Bij PC Patrol nemen we dat werk uit handen met beheerde hosting waarbij beveiligingsupdates en monitoring standaard meelopen. Wil je weten of jouw server kwetsbaar is voor CVE-2026-23111, of zoek je een partner die dit structureel voor je regelt? Neem gerust contact met ons op, dan kijken we samen naar je situatie.