SchwachstellenCloud-SicherheitHackerangriffe

Copy Fail: Kritische Linux-Schwachstelle betrifft Millionen Server weltweit

Von CyberDeutsch Redaktion
Copy Fail: Kritische Linux-Schwachstelle betrifft Millionen Server weltweit
Zusammenfassung

Eine kritische Sicherheitslücke in Linux gefährdet nahezu alle Systeme, die seit 2017 entwickelt wurden. Die als "Copy Fail" bekannte Schwachstelle (CVE-2026-31431) ermöglicht es Angreifern mit grundlegenden Berechtigungen, vollständige Administratorrechte zu erlangen und damit die vollständige Kontrolle über betroffene Computer zu übernehmen. Besonders besorgniserregend ist die Möglichkeit, aus isolierten Cloud-Container-Umgebungen auszubrechen und den gesamten Host-Server zu kompromittieren – ein erhebliches Risiko für die Cloud-Infrastruktur, die überwiegend auf Linux-Distributionen basiert. Die Lücke betrifft alle großen Distributionen wie Ubuntu, Red Hat Enterprise Linux, Amazon Linux und SUSE und wurde von der europäischen Cybersicherheitsbehörde CERT-EU als formale Warnung veröffentlicht. Für deutsche Unternehmen und Behörden, die auf Linux-Systemen in ihren Infrastrukturen und Cloud-Umgebungen angewiesen sind, stellt dies ein unmittelbares Risiko dar. Die Schwachstelle ist besonders tückisch, da sie durch subtile Manipulation von Dateikopien im Speicher funktioniert, während die eigentlichen Dateien auf der Festplatte unangetastet bleiben – herkömmliche Sicherheitstools können den Angriff daher nicht erkennen. Patches werden schrittweise verteilt, doch wurde bislang noch nicht beobachtet, dass die Lücke aktiv ausgenutzt wird.

Die Sicherheitsfirma Theori entdeckte die Lücke mit Hilfe eines KI-gestützten Scan-Tools namens Xint Code und machte sie diese Woche öffentlich. Die Schwachstelle erhielt ein CVSS-Basiswert von 7,8 – eine ernsthafte Bedrohung für kritische Infrastrukturen.

Besonders tückisch an “Copy Fail”: Die Lücke entstand durch die Kombination von drei zunächst harmlos wirkenden Änderungen am Linux-Kernel aus den Jahren 2011, 2015 und 2017. Jahrelang erkannte niemand, welche Gefahr ihre Kombination darstellte. Der Angriffsvektor ist raffiniert: Angreifer manipulieren unauffällig die temporäre Kopie einer Datei im Arbeitsspeicher, während diese gerade verwendet wird – das Original auf der Festplatte bleibt unangetastet. Standardmäßige Sicherheitstools überprüfen nur Dateien auf dem Datenträger und werden daher nicht fündig. Diese Lücke zwischen Speicher- und Festplatten-Überprüfung ermöglicht es Angreifern, die Regeln von vertrauenswürdigen Systemprogrammen neu zu schreiben und die Maschine zu übernehmen.

Trotz dass der Fix bereits am 1. April in die offizielle Linux-Kernel-Codebasis eingespielt wurde – Theori hatte die Lücke am 23. März gemeldet – hatten zum Zeitpunkt der CERT-EU-Warnung noch keine großen Distributionen Updates an Endnutzer ausgerollt. Dies ändert sich jetzt: Patches sind seit Donnerstag verfügbar, allerdings berichten Nutzer von Problemen mit interim Workarounds, die nicht auf allen Distributionen zuverlässig funktionieren.

Für deutsche Behörden und Unternehmen gelten besondere Anforderungen: Betreiber kritischer Infrastrukturen sollten ihre Linux-Systeme schnellstmöglich aktualisieren. Bei Cloud-Services ist schnelle Kommunikation mit den Providern wichtig – diese sollten bereits Patches deployen. Das BSI wird voraussichtlich ebenfalls eine Empfehlung herausgeben. DSGVO-Relevanz besteht für Organisationen, die Kundendaten auf betroffenen Systemen verarbeiten: Ein erfolgreicher Angriff kann zur Meldepflicht bei der Aufsichtsbehörde führen.

Positiv ist: Die US-Cybersecurity- und Infrastructure Security Agency (CISA) hat die Lücke bislang nicht in ihren Katalog aktiv ausgebeuteter Schwachstellen aufgenommen – es gibt also noch keine bekannten Angriffe im Feld. Das bietet ein zeitliches Fenster für rasche Patching-Maßnahmen, bevor Cyberkriminelle die Lücke massiv ausnutzen.

Ähnliche Artikel