SchwachstellenHackerangriffeCloud-Sicherheit

Copy Fail: Kritische Linux-Schwachstelle ermöglicht Root-Zugriff auf Millionen Systemen

Von CyberDeutsch Redaktion
Copy Fail: Kritische Linux-Schwachstelle ermöglicht Root-Zugriff auf Millionen Systemen
Zusammenfassung

Eine neu entdeckte Linux-Sicherheitslücke mit der Bezeichnung „Copy Fail" (CVE-2026-31431) bedroht zahlreiche Linux-Distributionen weltweit. Die Schwachstelle ermöglicht es unprivilegierten lokalen Benutzern, durch einen einfachen 732-Byte-Python-Script Root-Zugriff zu erlangen – ein kritisches Sicherheitsrisiko, das sich auf Systeme auswirkt, die seit 2017 in Betrieb sind. Die Forscher von Xint.io und Theori haben einen logischen Fehler im kryptographischen Subsystem des Linux-Kernels, genauer im algif_aead-Modul, identifiziert. Das Besondere an Copy Fail ist seine Zuverlässigkeit: Im Gegensatz zu ähnlichen Schwachstellen erfordert es keine Race Conditions oder spezielles Kernel-Wissen und funktioniert distributionsübergreifend. Für Deutschland ist dies besonders relevant, da Unternehmen, Behörden und Institutionen massiv auf Linux-basierte Infrastrukturen angewiesen sind. Betroffen sind populäre Distributionen wie Ubuntu, Red Hat Enterprise Linux und SUSE – Systeme, die in deutschen Rechenzentren, bei IT-Dienstleistern und in der kritischen Infrastruktur häufig eingesetzt werden. Die Lücke ermöglicht auch Container-übergreifende Angriffe und könnte somit Cloud-Infrastrukturen gefährden. Schnelle Patches sind daher für den Schutz deutscher Systeme essentiell.

Die Schwachstelle “Copy Fail” wurzelt in einem Logikfehler des Linux-Kernels, genauer gesagt im cryptografischen Subsystem, konkret im algif_aead-Modul. Dieser Fehler wurde durch einen Code-Commit aus dem August 2017 eingeführt und schlummert seither in Millionen von Linux-Systemen weltweit.

Das Angriffsverfahren ist bemerkenswert simpel: Ein unprivilegierter lokaler Benutzer kann vier kontrollierte Bytes in den Page Cache einer beliebigen lesbaren Datei des Linux-Systems schreiben und diese manipulieren, um sich Root-Zugriff zu verschaffen. Das funktioniert, indem der Angreifer einen setuid-Binary (eine ausführbare Datei mit Set-User-ID-Bit) im Page Cache korrumpiert.

Besonders besorgniserregend ist, dass die Exploit-Methode nicht nur zuverlässig funktioniert, sondern auch sogenannte “Cross-Container-Auswirkungen” hat. Dies bedeutet: Selbst in containerisierten Umgebungen (Docker, Kubernetes), die in modernen Cloud- und DevOps-Infrastrukturen verbreitet sind, kann der Page Cache zwischen Containern geteilt werden. Das Sicherheitsmodell von Containern könnte dadurch kompromittiert werden.

David Brumley von Bugcrowd ordnet die Schwachstelle ein: Copy Fail nutze dieselbe Angriffsklasse wie die bekannte Dirty Pipe-Lücke (CVE-2022-0847) aus dem Jahr 2022, operiere aber in einem anderen Kernel-Subsystem. Die Optimierung im algif_aead-Modul von 2017 ermöglicht es, dass eine Page-Cache-Seite in die beschreibbare Destination-Scatterlist des Kernels für AEAD-Operationen gelangt – was ein unprivilegierter Prozess dann über ein AF_ALG-Socket und die splice()-Funktion ausnutzen kann.

Was die Gefahr maximiert: Das Exploit ist portabel über alle Linux-Distributionen, winzig im Umfang, schwer zu detektieren und funktioniert unabhängig von Kernel-Offsets oder spezifischen Distributionsversionen. Xint.io betont: “Diese Schwachstelle ist einzigartig, weil vier Eigenschaften zusammenkommen, die fast nie gleichzeitig auftreten – sie ist portabel, klein, unauffällig und funktioniert über Container-Grenzen hinweg.”

Die Linux-Community hat bereits reagiert: Mehrere Distributoren haben Sicherheitsempfehlungen veröffentlicht. Für deutsche Unternehmen und öffentliche Behörden bedeutet dies: Umgehend alle Linux-Systeme inventarisieren, Kernel-Updates einspielen und SIEM-Systeme auf verdächtige Aktivitäten überwachen. Das BSI wird voraussichtlich konkrete Handlungsempfehlungen ausgeben.

Ähnliche Artikel