SchwachstellenHackerangriffeCloud-Sicherheit

Kritische Linux-Schwachstelle CVE-2026-31431 wird aktiv ausgenutzt – BSI warnt deutsche Unternehmen

Von CyberDeutsch Redaktion
Kritische Linux-Schwachstelle CVE-2026-31431 wird aktiv ausgenutzt – BSI warnt deutsche Unternehmen
Zusammenfassung

Eine kritische Linux-Schwachstelle gefährdet weltweit Millionen von Systemen. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat die Sicherheitslücke CVE-2026-31431 in ihren Katalog aktiv ausgenutzter Schwachstellen aufgenommen und bestätigt damit, dass Angreifer diese bereits in der Praxis missbrauchen. Bei der sogenannten „Copy Fail" handelt es sich um einen neun Jahre alten Logic-Bug im Linux-Kernel, der es unprivilegierten lokalen Nutzern ermöglicht, Root-Zugriff zu erlangen. Besonders bemerkenswert ist die Einfachheit der Ausnutzung: Ein nur 732 Byte großes Python-Skript genügt, um die Schwachstelle zu exploitieren. Die Lücke betrifft sämtliche Linux-Distributionen ab 2017 und ermöglicht Angreifern, den Kernel-Seitencache zu manipulieren und Malware in privilegierte Prozesse einzuschleusen. Für Deutschland ist dies besonders relevant, da Linux-Systeme in Unternehmen, Behörden und Hosting-Infrastrukturen weit verbreitet sind. Vor allem containerisierte Umgebungen in der Cloud sind gefährdet. Angesichts bereits verfügbarer Exploit-Varianten in verschiedenen Programmiersprachen und der einfachen Handhabung besteht erhebliches Missbrauchsrisiko. Systemadministratoren und IT-Sicherheitsverantwortliche in Deutschland müssen dringend handeln.

Die Schwachstelle CVE-2026-31431, entwickelt von den Sicherheitsforschern von Theori und Xint und auch unter dem Namen “Copy Fail” bekannt, offenbart ein grundlegendes Design-Problem im Linux-Kernel. Der Fehler liegt in der kryptographischen Authentifizierungs-Template des Kernels und ermöglicht eine “Incorrect Resource Transfer Between Spheres” – eine privilegierte Eskalation durch Manipulation des In-Memory-Page-Cache.

Das Funktionsprinzip ist verstörend einfach: Angreifer können den Kernel-Speicher-Cache von ausführbaren Dateien, einschließlich setuid-Binaries wie /usr/bin/su, korrumpieren. Dies geschieht ohne Festplattenzugriff – der manipulierte Code wird direkt bei der Ausführung geladen. Das Google-Sicherheitsteam Wiz beschreibt dies als “Code-Injection in privilegierte Binaries”, die unmittelbar Root-Zugriff ermöglicht.

Für Container-Umgebungen – in Deutschland zunehmend bei DAX, Siemens und anderen Industrieunternehmen im Einsatz – ist die Gefahr besonders groß. Docker, LXC und Kubernetes laden standardmäßig das algif_aead-Modul, das die Ausnutzung ermöglicht. Kaspersky warnt vor “Breach of Container Isolation” – Angreifer könnten vom Container aus die physische Maschine kontrollieren.

Die Exploitierbarkeit ist erschreckend niedrigschwellig: Das Angriffsvektorattribut (AV:L) erfordert lokale Präsenz und minimale Privilegien. Kein komplexer Code, keine Race Conditions – nur Standard-Systemaufrufe, die sich kaum von normalem Systemverhalten unterscheiden. Dies erschwert die Detektion erheblich.

Microsoft Defender warnt vor “Preliminary Testing Activity” von Threat-Akteuren. Zwar ist die Schwachstelle nicht remote exploitierbar im Isolationszustand, wird aber hochgefährlich in Kombination mit SSH-Zugriffen, CI/CD-Pipeline-Injektionen oder Container-Footholds – alles Angriffsvektoren, die in deutschen IT-Infrastrukturen häufig vorkommen.

Lösungszustände: Linux-Distributionen haben Patches in den Kernel-Versionen 6.18.22, 6.19.12 und 7.0 bereitgestellt. Das BSI empfiehlt deutschen Behörden und kritischen Infrastrukturen sofortige Anwendung. Als Interim-Maßnahmen: Deaktivierung des AF_ALG-Subsystems, Netzwerk-Isolation und strikte Access-Controls. Die Frist für Bundesbehörden: 15. Mai 2026.

Ähnliche Artikel