SchwachstellenHackerangriffeCloud-Sicherheit

DirtyDecrypt: Proof-of-Concept für kritische Linux-Kernel-Schwachstelle veröffentlicht

Von CyberDeutsch Redaktion
DirtyDecrypt: Proof-of-Concept für kritische Linux-Kernel-Schwachstelle veröffentlicht
Zusammenfassung

Eine kritische Sicherheitslücke im Linux-Kernel mit dem Namen DirtyDecrypt ist erneut in den Fokus gerückt, nachdem ein Proof-of-Concept-Code verfügbar wurde. Die Schwachstelle, die bereits im April gepatcht wurde, ermöglicht es lokalen Angreifern, ihre Berechtigungen bis zur Root-Ebene zu erhöhen. Das V12-Sicherheitsteam entdeckte die Lücke in einer fehlenden Copy-on-Write-Schutzvorrichtung in der RxGK-Komponente des Linux-Kernels, die das AFS- und OpenAFS-Netzwerk-Dateisystem nutzt. Besonders betroffen sind Linux-Distributionen mit aktivierter RxGK-Konfiguration wie Arch Linux, Fedora und openSUSE. Für deutsche Nutzer, Entwickler und Unternehmen, die diese Distributionen einsetzen, stellt dies ein erhebliches Sicherheitsrisiko dar. In Container-Umgebungen könnten Angreifer diese Lücke nutzen, um aus isolierten Pods auszubrechen und vollständige Kontrolle über Systeme zu erlangen. DirtyDecrypt ist Teil einer Serie von Linux-Kernel-Exploits wie CopyFail und DirtyFrag, die alle Root-Zugriff ermöglichen. Unternehmen und Behörden sollten schnellstmöglich überprüfen, ob ihre Systeme von dieser Anfälligkeit betroffen sind, und verfügbare Patches sofort einspielen.

DirtyDecrypt, auch unter der Bezeichnung DirtyCBC bekannt, ist eine Variante einer Serie von Linux-Kernel-Schwachstellen, die in letzter Zeit für Aufregung sorgen. Das Team der Sicherheitsfirma V12 identifizierte die Lücke Anfang dieses Monats – Patches waren allerdings bereits seit April im Umlauf. Laut Analyse könnte es sich um CVE-2024-31635 mit einem CVSS-Score von 7.5 handeln, offiziell angekündigt am 24. April.

Die technische Ursache liegt in einem fehlenden Copy-on-Write (COW) Schutz in der rxgk_decrypt_skb-Komponente des RxGK-Subsystems. RxGK ist ein Sicherheitsmodul für das RxRPC-Netzwerkprotokoll, das vom Andrew File System (AFS) und OpenAFS genutzt wird und auf dem GSSAPI-Framework für Authentifizierung und Datenschutz basiert. Der fehlende Schutz führt dazu, dass überdimensionierte Authentifizierungsdaten akzeptiert werden, was Schreibzugriffe auf privilegierte Prozesse oder auf die Page-Cache-Bereiche von SUID-Binaries ermöglicht.

Besonders kritisch ist die Situation in Container-Umgebungen. Hier könnten Angreifer von einem kompromittierten Container aus die Host-Sicherheit durchbrechen und auf benachbarte Container oder das Host-System zugreifen. Das stellt ein erhebliches Risiko für Cloud-Infrastrukturen dar, die auf Kubernetes oder ähnliche Orchestrierungsplattformen setzen.

DirtyDecrypt ist nicht isoliert. Es handelt sich um eine Variante einer ganzen Familie von Linux-Kernel-Exploits, die in den letzten Wochen bekannt wurden: CopyFail, DirtyFrag und Fragnesia. CopyFail, im April enthüllt, ermöglicht es, In-Memory-Kopien von setuid-root-Binaries zu modifizieren – und wurde bereits in aktiven Angriffen ausgenutzt. DirtyFrag verkettete zwei Kernel-Schwachstellen, um Root-Zugriff zu erlangen. Fragnesia (CVE-2024-46300) nutzt das XFRM ESP-in-TCP-Subsystem, um sensitive Systemdateien zu überschreiben.

Für deutsche Administratoren und Sicherheitsverantwortliche gilt: Sofortige Maßnahmen sind erforderlich. Betroffen sind primär Arch Linux, Fedora und openSUSE, sofern das RxGK-Modul aktiviert ist. Ein Audit der Systeme sowie zeitnahe Patching-Maßnahmen sollten oberste Priorität haben. Unternehmen sollten zudem ihre Container-Sicherheitsrichtlinien überprüfen und Network-Segmentation verstärken.

Ähnliche Artikel