CISA: „Copy Fail"-Lücke im Linux-Kernel wird bereits für Root-Zugriff ausgenutzt

Zusammenfassung

Die US-Behörde CISA warnt, dass Angreifer die als „Copy Fail" bezeichnete Sicherheitslücke im Linux-Kernel aktiv ausnutzen — nur einen Tag, nachdem Forscher von Theori die Schwachstelle offengelegt und einen Proof-of-Concept-Exploit veröffentlicht hatten. Die unter CVE-2026-31431 geführte Lücke steckt in der Schnittstelle des Kernels für den kryptografischen Algorithmus algif_aead. Sie erlaubt es lokalen Nutzern ohne Privilegien, sich auf ungepatchten Systemen Root-Rechte zu verschaffen, indem sie vier kontrollierte Bytes in den Page Cache einer beliebigen lesbaren Datei schreiben. Theori bezeichnete den mitgelieferten, in Python geschriebenen Exploit als „zu 100 % zuverlässig" und führte vor, dass er Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 und SUSE 16 erfolgreich übernimmt. Nach Angaben der Forscher funktioniert dasselbe Skript zuverlässig gegen jede seit 2017 ausgelieferte Linux-Distribution mit verwundbarem Kernel. CISA nahm die Lücke in ihren Katalog bekannter ausgenutzter Schwachstellen auf und ordnete für US-Bundesbehörden eine Frist zum Schließen an. Die Behörde rief darüber hinaus alle Sicherheitsteams dazu auf, den Patch vorrangig zu behandeln.

Die Schwachstelle wurde im Linux-Kernel in der Schnittstelle für den kryptografischen Algorithmus algif_aead gefunden. Über CVE-2026-31431 können unprivilegierte lokale Nutzer auf ungepatchten Systemen Root-Rechte erlangen, indem sie vier kontrollierte Bytes in den Page Cache einer beliebigen lesbaren Datei schreiben.

Forscher von Theori legten die Lücke am Donnerstag offen und stellten einen Python-basierten Exploit bereit, den sie als „zu 100 % zuverlässig" beschrieben. In ihrer Demonstration übernahm er Geräte mit Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 und SUSE 16. Nach Angaben der Forscher lässt sich dasselbe Skript zuverlässig gegen jede seit 2017 ausgelieferte Linux-Distribution mit verwundbarer Kernel-Version einsetzen.

„Dasselbe Skript, vier Distributionen, vier Root-Shells — in einem Durchgang. Dieselbe ausführbare Exploit-Datei funktioniert unverändert auf jeder Linux-Distribution", erklärte Theori. „Wenn Ihr Kernel zwischen 2017 und dem Patch gebaut wurde — was praktisch jede gängige Linux-Distribution abdeckt — sind Sie betroffen."

Während die großen Distributionen begannen, den Fix über Kernel-Updates auszuliefern, wies Will Dormann, leitender Schwachstellenanalyst bei Tharros, am Donnerstag darauf hin, dass es bei Veröffentlichung des Theori-Advisories noch keine „offiziellen Updates" gab.

Am Freitag nahm CISA die Copy-Fail-Lücke in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) auf. Gemäß der Binding Operational Directive (BOD) 22-01 müssen die zivilen US-Bundesbehörden ihre Linux-Endpunkte und -Server innerhalb von zwei Wochen, bis zum 15. Mai, patchen.

„Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für böswillige Cyber-Akteure und stellt ein erhebliches Risiko für die Bundesverwaltung dar", warnte die Behörde. Sie empfahl, Gegenmaßnahmen nach Herstelleranweisung umzusetzen, für Cloud-Dienste die einschlägigen Vorgaben der BOD 22-01 zu befolgen oder das Produkt aufzugeben, falls keine Gegenmaßnahmen verfügbar sind.

Obwohl die BOD 22-01 nur für US-Regierungsbehörden gilt, rief CISA alle Sicherheitsteams dazu auf, ihre Netzwerke so schnell wie möglich abzusichern und Patches für CVE-2026-31431 vorrangig einzuspielen.

Bereits zuvor hatten die Linux-Distributionen eine weitere schwerwiegende Lücke zur Rechteausweitung auf Root-Ebene geschlossen: Die als „Pack2TheRoot" bezeichnete Schwachstelle (CVE-2026-41651) hatte über ein Jahrzehnt im PackageKit-Daemon bestanden.

CISA: „Copy Fail"-Lücke im Linux-Kernel wird bereits für Root-Zugriff ausgenutzt

Ähnliche Artikel

Neueste Artikel