Öffentlich veröffentlichter Exploit-Code für eine praktisch ungepatchte Schwachstelle, die praktisch allen Linux-Versionen Root-Zugriff gewährt, schlägt Alarm, während Verteidiger versuchen, schwere Kompromittierungen in Rechenzentren und auf persönlichen Geräten abzuwehren. Die Schwachstelle und der Exploit-Code, der sie ausnutzt, wurden am Mittwochabend von Forschern der Sicherheitsfirma **Theori** veröffentlicht, fünf Wochen nachdem sie dem Linux-Kernel-Sicherheitsteam privat gemeldet wurde. Das Team hat die Schwachstelle in den Versionen 7.0, 6.19.12, 6.18.12, 6.12.85, 6.6.137, 6.1.170, 5.15.204 und 5.10.254 gepatcht, aber nur wenige der Linux-Distributionen hatten diese Fixes zum Zeitpunkt der Veröffentlichung des Exploits integriert. ## Ein einziges Skript, um sie alle zu hacken Der kritische Fehler, der als **CVE-2026-31431** und Name CopyFail verfolgt wird, ist eine lokale Rechteausweitung (Local Privilege Escalation), eine Schwachstellenklasse, die es nicht privilegierten Benutzern ermöglicht, sich selbst zu Administratoren zu erhöhen. CopyFail ist besonders schwerwiegend, da es mit einem einzigen Exploit-Code – veröffentlicht in der gestrigen Offenlegung – ausgenutzt werden kann, der ohne Modifikation auf allen anfälligen Distributionen funktioniert. Damit kann ein Angreifer unter anderem Multi-Tenant-Systeme hacken, aus Containern, die auf Kubernetes oder anderen Frameworks basieren, ausbrechen und bösartige Pull-Requests erstellen, die den Exploit-Code über CI/CD-Workflows einschleusen. „'Local privilege escalation' klingt trocken, also lassen Sie es mich aufschlüsseln“, schrieb Forscher Jorijn Schrijvershof am Donnerstag. „Das bedeutet: Ein Angreifer, der bereits eine Möglichkeit hat, Code auf der Maschine auszuführen, selbst als der langweiligste nicht privilegierte Benutzer, kann sich selbst zum Root befördern. Von dort aus kann er jede Datei lesen, backdoors installieren, jeden Prozess überwachen und zu anderen Systemen übergehen.“ Schrijvershof fügte hinzu, dass dasselbe Python-Skript, das Theori veröffentlicht hat, zuverlässig für Ubuntu 22.04, Amazon Linux 2023, SUSE 15.6 und Debian 12 funktioniert. Der Forscher fuhr fort: *Warum ist das auf gemeinsam genutzter Infrastruktur wichtig? Weil „lokal“ im Jahr 2026 viel bedeutet: jeder Container auf einem gemeinsam genutzten Kubernetes-Knoten, jeder Mandant auf einer gemeinsam genutzten Hosting-Box, jeder CI/CD-Job, der nicht vertrauenswürdigen Pull-Request-Code ausführt, jede containerisierte KI-Agent, der Shell-Zugriff erhält. Sie alle teilen sich einen Linux-Kernel mit ihren Nachbarn. Eine Kernel-LPE bricht diese Grenze zusammen.* *Die realistische Bedrohungskette sieht so aus. Ein Angreifer nutzt eine bekannte Schwachstelle in einem WordPress-Plugin aus und erhält Shell-Zugriff als www-data. Sie führen den copy.fail PoC aus. Sie sind jetzt Root auf dem Host. Jeder andere Mandant ist plötzlich erreichbar, so wie ich es in diesem Hack-Post-Mortem beschrieben habe. Die Schwachstelle bringt den Angreifer nicht auf die Box; sie ändert, was in den nächsten zehn Sekunden passiert, nachdem er dort gelandet ist.* Die Schwachstelle beruht auf einem „geradlinigen“ Logikfehler in der Krypto-API des Kernels. Viele Exploits, die Race Conditions und Speicherbeschädigungsfehler ausnutzen, sind nicht über Kernel-Versionen oder Distributionen hinweg konsistent erfolgreich, und manchmal sogar auf derselben Maschine. Da der für CopyFail veröffentlichte Code einen Logikfehler ausnutzt, ist „die Zuverlässigkeit nicht probabilistisch und dasselbe Skript funktioniert über Distributionen hinweg“, schrieben Forscher von **Bugcrowd**. „Kein Race-Fenster, kein Kernel-Offset.“ CopyFail erhält seinen Namen, weil der Authentifizierungsprozess für AEAD-Templates (verwendet für IPsec Extended Sequence Numbers) die Daten nicht tatsächlich kopiert, wenn er sollte. Stattdessen „verwendet er den Zielpuffer des Aufrufers als Scratchpad, schreibt 4 Bytes über den legitimen Ausgabebereich hinaus und stellt sie nie wieder her“, sagte Theori. „Das „Kopieren“ der AAD ESN-Bytes „scheitert“ daran, innerhalb des Zielpuffers zu bleiben.“ ## Die schlimmste Linux-Schwachstelle seit Jahren Andere Sicherheitsexperten teilten die Ansicht, dass CopyFail eine ernsthafte Bedrohung darstellt, wobei einer sagte, es sei die „schlimmste Make-me-root-Schwachstelle im Kernel in jüngster Zeit“. Die jüngsten vergleichbaren Linux-Schwachstellen waren Dirty Pipe aus dem Jahr 2022 und Dirty Cow im Jahr 2016. Beide Schwachstellen wurden aktiv in freier Wildbahn ausgenutzt. Linux-Distributoren halten oft an älteren Kernel-Versionen fest und backporten Fixes in diese. Es gibt keine Hinweise in der Offenlegungsfrist darauf, dass Theori jemals die Distributoren kontaktiert hat. Da der Exploit verfügbar war, bevor gepatchte Distributionen verfügbar waren, gleicht die Offenlegung etwas sehr Ähnlichem wie der Veröffentlichung einer Zero-Day-Schwachstelle, obwohl der steifere Begriff wahrscheinlich „Zero-Day-Patch-Lücke“ ist. „Die Organisation, die die Offenlegung vornimmt … hat eine absolut schreckliche Arbeit bei der Koordination von Schwachstellen geleistet“, sagte Will Dormann, ein Senior Principal Vulnerability Analyst bei **Tharros Labs**, in einem Interview. „Was mir den Verstand raubt, ist, dass sie in ihrem Bericht sowohl (A) 4 betroffene Anbieter auflisten als auch (B) die Leser auffordern, Anbieter-Patches anzuwenden. Aber bevor sie mit der Veröffentlichung begannen, haben sie sich nicht die Mühe gemacht zu prüfen, ob IRGENDWELCHE der von ihnen aufgeführten Anbieter TATSÄCHLICH PATCHES HABEN. (Keiner tut es).“ Versuche, Vertreter von Theori zu kontaktieren, waren nicht erfolgreich. Bekannte Distributionen, die die Schwachstelle gepatcht haben, sind Arch Linux und RedHat Fedora. Diejenigen, die zum Zeitpunkt der Veröffentlichung dieses Beitrags Anleitungen zur Minderung veröffentlicht haben, sind: * SUSE * Debian Benutzer werden dringend gebeten, ihre Systeme sofort zu aktualisieren und verfügbare Patches oder Milderungen anzuwenden.