SchwachstellenHackerangriffeCyberkriminalität

Dirty Frag: Neue Linux-Schwachstelle ermöglicht Root-Zugriff auf allen Major-Distributionen

Von CyberDeutsch Redaktion
Dirty Frag: Neue Linux-Schwachstelle ermöglicht Root-Zugriff auf allen Major-Distributionen
Zusammenfassung

Eine neue kritische Sicherheitslücke namens „Dirty Frag" bedroht Linux-Systeme weltweit. Der Sicherheitsforscher Hyunwoo Kim entdeckte die Zero-Day-Schwachstelle, die es lokalen Angreifern ermöglicht, mit einem einzigen Befehl Root-Privilegien auf allen gängigen Linux-Distributionen zu erlangen. Die Lücke existiert bereits seit etwa neun Jahren im Linux-Kernel und kombiniert zwei separate Kernel-Fehler – die xfrm-ESP Page-Cache Write und die RxRPC Page-Cache Write Anfälligkeit – um geschützte Systemdateien im Speicher zu manipulieren. Betroffen sind sämtliche relevanten Linux-Distributionen, darunter Ubuntu, Red Hat Enterprise Linux, CentOS Stream, AlmaLinux, openSUSE Tumbleweed und Fedora, für die bislang keine Sicherheitspatches verfügbar sind. Besonders besorgniserregend ist die hohe Erfolgsquote der Exploits, da keine Race Conditions erforderlich sind. Für deutsche Nutzer, Unternehmen und Behörden stellt dies ein erhebliches Risiko dar, insbesondere für Server-Infrastrukturen und Systeme mit lokalen Zugriffsmöglichkeiten. Die US-Behörde CISA hat bereits Alarm geschlagen und fordert Bundesagenturen auf, ihre Linux-Geräte zu schützen. Eine temporäre Mitigation ist möglich durch das Entfernen anfälliger Kernel-Module, allerdings auf Kosten der Funktionalität von IPsec-VPNs und verteilten Dateisystemen.

Die Entdeckung von Dirty Frag folgt auf eine Serie kritischer Linux-Schwachstellen in den vergangenen Monaten und verschärft die Situation für Linux-Nutzer und -Administratoren erheblich. Die Lücke nutzt eine Kombination aus zwei bekannten Kernel-Fehlern: der xfrm-ESP Page-Cache Write Vulnerability und der RxRPC Page-Cache Write Vulnerability. Durch geschicktes Verketten dieser beiden Fehler können Angreifer geschützte Systemdateien im Speicher manipulieren und so unberechtigt Systemrechte erlangen.

Was Dirty Frag besonders gefährlich macht, ist ihre Zuverlässigkeit. Anders als viele vergleichbare Exploits, die auf Timing-Fenster angewiesen sind und daher eine hohe Fehlerquote aufweisen, arbeitet Dirty Frag deterministisch. Das bedeutet: Der Exploit funktioniert bei jedem Versuch und löst keinen Kernel-Panic aus, wenn etwas schiefgeht. Dies macht die Lücke zu einer idealen Waffe für Cyber-Angreifer.

Kim veröffentlichte die vollständige Dokumentation und einen funktionierenden Proof-of-Concept-Exploit, nachdem die Embargo-Phase am 7. Mai 2026 durch einen unabhängigen Dritten unterbrochen wurde. Für betroffene Systeme gibt es derzeit noch keine CVE-Nummer und keine offiziellen Patches – eine kritische Situation für alle Administratoren.

Eine kurzfristige Notfallmaßnahme besteht darin, die anfälligen Kernel-Module esp4, esp6 und rxrpc zu deaktivieren. Dies ist allerdings mit erheblichen Nebenwirkungen verbunden: IPsec-VPN-Verbindungen und AFS-Netzwerk-Dateisysteme werden dadurch unbrauchbar. Viele Unternehmen müssen daher eine schwierige Abwägung treffen zwischen Sicherheit und Funktionalität.

Die Entdeckung von Dirty Frag erfolgt in einem kritischen Zeitfenster: Die US-Behörde CISA hat die Copy-Fail-Schwachstelle gerade in den Katalog aktiv ausgebeuteter Sicherheitslücken aufgenommen und fordert Bundesbehörden auf, ihre Linux-Systeme bis zum 15. Mai zu sichern. Dies zeigt die massive Priorität, die diese Klasse von Schwachstellen derzeit hat.

Für deutsche Unternehmen und Behörden ist schnelles Handeln erforderlich. Das BSI dürfte zeitnah Empfehlungen herausgeben. Administratoren sollten die Sicherheitsmeldungen ihrer Distributionen überwachen und Patches einspielen, sobald diese verfügbar sind. Wer IPsec oder AFS nicht nutzt, sollte die anfälligen Module sofort deaktivieren.

Ähnliche Artikel