BEDROHUNG
Forscher des Offensive-Security-Unternehmens Theori veröffentlichten vergangene Woche technische Details und einen Proof-of-Concept zu einer neuen Schwachstelle im Linux-Kernel. Die US-Behörde CISA nahm die Lücke umgehend in ihren Known-Exploited-Vulnerabilities-Katalog auf. CVE-2026-31431, auch Copy Fail genannt, ist ein Logikfehler, der lokalen, nicht privilegierten Nutzern Root-Rechte verschafft und laut CISA bereits aktiv ausgenutzt wird.
Ursache ist ein Fehler im Zusammenspiel des AF_ALG-Socket-Interfaces mit dem splice()-Systemaufruf des kryptografischen Subsystems. Ein Angreifer kann unter bestimmten Bedingungen vier Bytes in den Cache einer lesbaren Datei schreiben. Manipuliert er etwa die im Speicher gehaltene Kopie einer Setuid-Root-Binary wie /usr/bin/su, führt das anschließende Ausführen zur Rechteausweitung auf Root, ohne die Datei auf der Festplatte selbst dauerhaft zu verändern.
Betroffen sind nach Angaben der Forscher sämtliche Distributionen mit einem Kernel ab 2017. Distributionsspezifische Anpassungen sind für die Ausnutzung nicht nötig. Der veröffentlichte Python-Exploit umfasst lediglich 732 Bytes und wurde unter anderem auf Ubuntu 24.04 LTS und SUSE 16 demonstriert. Da der Page Cache zwischen Host und Containern geteilt wird, besteht ein erhöhtes Risiko für Container- und Kubernetes-Umgebungen. Remote ausnutzbar ist die Lücke nicht, in Kombination mit vorhandenem Zugriff führt sie aber zur vollständigen Kompromittierung. Patches sind verfügbar, alternativ lässt sich die betroffene Crypto-Schnittstelle blockieren oder das Modul algif_aead deaktivieren.
Was jetzt zu tun ist:
- umgehend patchen
- gegebenenfalls Krypto-Schnittstelle oder das Modul „algif_aead“ temporär
deaktivieren - Systeme auf verdächtige lokale Rechteausweitungen und ungewöhnliche Prozesse
prüfen
PRÄVENTION & DETEKTION
Threat Hunting mit ConSecur ist die gezielte, proaktive Suche nach versteckten Angreiferaktivitäten in der IT-Umgebung - unabhängig von bestehenden Alarmen. Statt auf einzelne Meldungen zu reagieren, identifizieren wir reale Angriffsaktivitäten. Früh erkennen. Schnell reagieren. Schaden verhindern – bevor Angreifer Ihre kritischen Systeme oder Daten beeinträchtigen. Wir verbinden die operative Erfahrung aus Security Operations, Incident Response und Angriffsanalyse mit tiefem technischem Verständnis moderner IT‑ und Netzwerkinfrastrukturen.
Autor: Michael Niers
