Die Cybersicherheits-Community ist in höchster Alarmbereitschaft, nachdem Berichte aufgetaucht sind, dass Angreifer die 'Copy Fail'-Linux-Sicherheitslücke aktiv ausnutzen, nur einen Tag nach ihrer Offenlegung durch **Theori**-Forscher. Die Dringlichkeit ergibt sich aus dem Potenzial für unprivilegierte lokale Benutzer, Root-Privilegien auf betroffenen Systemen zu erlangen. ## CVE-2026-31431: Die 'Copy Fail'-Schwachstelle Diese als **CVE-2026-31431** verfolgte Sicherheitslücke befindet sich in der kryptografischen Algorithmus-Schnittstelle algif_aead des Linux-Kernels. Die Schwachstelle ermöglicht es lokalen Benutzern, ihre Berechtigungen zu eskalieren, indem sie vier kontrollierte Bytes in den Page Cache jeder lesbaren Datei schreiben. Dies gewährt ihnen Root-Zugriff auf ungepatchte Linux-Systeme. ## Proof-of-Concept-Exploit veröffentlicht **Theori**-Forscher haben die Schwachstelle öffentlich gemacht und einen Proof-of-Concept (PoC) Exploit in Python veröffentlicht. Laut den Forschern ist der Exploit sehr zuverlässig und erzielt einen "100% zuverlässigen" Root-Zugriff auf **Ubuntu 24.04 LTS**, **Amazon Linux 2023**, **RHEL 10.1** und **SUSE 16** Geräten. Darüber hinaus behauptet **Theori**, dass dasselbe Exploit-Skript gegen fast jede seit 2017 veröffentlichte Linux-Distribution mit einer anfälligen Kernel-Version verwendet werden kann. "Dasselbe Skript, vier Distributionen, vier Root-Shells – in einem Durchgang. Dieselbe Exploit-Binärdatei funktioniert unverändert auf jeder Linux-Distribution", erklärte **Theori**. "Wenn Ihr Kernel zwischen 2017 und dem Patch kompiliert wurde – was im Wesentlichen jede Mainstream-Linux-Distribution abdeckt –, sind Sie betroffen." ## Patching-Bemühungen und anfängliche Verzögerungen Während große Linux-Distributionen begonnen haben, Kernel-Updates zur Behebung der Schwachstelle herauszugeben, stellte **Will Dormann**, Principal Vulnerability Analyst bei Tharros, fest, dass offizielle Updates zum Zeitpunkt der **Theori**-Beratung nicht verfügbar waren.  *Root-Shell auf vier Linux-Distributionen erhalten (Theori)* ## CISA-Anweisung und Empfehlungen Am Freitag nahm **CISA** die 'Copy Fail'-Schwachstelle in seinen Katalog bekannter ausgenutzter Schwachstellen (KEV) auf. Diese Maßnahme verpflichtet Bundesbehörden des zivilen Exekutivzweigs (FCEB), ihre Linux-Endpunkte und Server bis zum 15. Mai zu patchen, wie in der Binding Operational Directive (BOD) 22-01 festgelegt. "Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für böswillige Cyberakteure und birgt erhebliche Risiken für das föderale Unternehmen", warnte die US-Cybersicherheitsbehörde. **CISA** forderte die Behörden auf, "Minderungsmaßnahmen gemäß den Anweisungen des Herstellers anzuwenden, die geltenden BOD 22-01-Richtlinien für Cloud-Dienste zu befolgen oder die Nutzung des Produkts einzustellen, wenn Minderungsmaßnahmen nicht verfügbar sind." Obwohl BOD 22-01 speziell US-Regierungsbehörden betrifft, rät **CISA** allen Sicherheitsteams dringend, das Patchen von **CVE-2026-31431** zu priorisieren, um ihre Netzwerke zu sichern. ## Jüngste Geschichte von Linux-Kernel-Schwachstellen Dieser Vorfall folgt dicht auf eine weitere hochgradige Schwachstelle zur Eskalation von Root-Berechtigungen, **CVE-2026-41651** (genannt Pack2TheRoot), die letzten Monat von Linux-Distributionen gepatcht wurde. Diese Schwachstelle bestand über ein Jahrzehnt im PackageKit-Daemon. [](https://hubs.li/Q04crVgD0)