Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) warnt alle zivilen Bundesbehörden, ihre Systeme spätestens bis zum 15. Mai zu patchen. Der Grund - eine schwerwiegende Lücke im Linux-Kernel mit dem Namen CopyFail, die bereits aktiv für bösartige Angriffe genutzt wird.

Die Lücke, technisch als CVE-2026-31431 bekannt, wurde in den Versionen 7.0 und älter des Linux-Kernels gefunden. Die Sicherheitsfirma Theori, die sie entdeckte, bestätigte, dass sie auf Red Hat Enterprise Linux 10.1, Ubuntu 24.04 (LTS), Amazon Linux 2023 und SUSE 16 verifiziert wurde. Die Zahl der potenziell betroffenen Systeme ist buchstäblich gewaltig - dasselbe Skript „rootet jede Linux-Distribution, die seit 2017 erschienen ist", laut der CopyFail-Webseite.

Wie funktioniert das? Der Kernel - das Herz des Betriebssystems mit Zugriff auf fast alles auf dem Gerät - kopiert bestimmte Daten nicht, wenn er sollte. Das korrumpiert sensible Informationen und verschafft dem Angreifer Zugang zu allem anderen. Konkretes Ergebnis - ein gewöhnlicher Nutzer mit begrenzten Rechten erhält vollständige Administratorrechte. Im Rechenzentrum bedeutet das Zugriff auf Server, Datenbanken und potenziell alle anderen Systeme im selben Netzwerk.

Die Lücke allein kann nicht über das Internet ausgenutzt werden, sie ist aber ein „Multiplikator" für andere Angriffe. Microsoft warnt, dass CopyFail in Kombination mit einer über das Internet ausnutzbaren Schwachstelle einem Angreifer Root-Zugriff auf einen Server ermöglicht. Nutzer können auch über einen schädlichen Link getäuscht werden. Das angsteinflößendste Szenario - ein Angriff über die Supply Chain, bei dem Hacker den Open-Source-Code eines beliebten Entwicklers kompromittieren und alle infizieren, die ihn nutzen.

Patches sind im Kernel veröffentlicht, haben aber noch nicht alle Distributionen erreicht. Debian, Fedora, Kubernetes - alle sind verwundbar. DevOps-Ingenieur Jorrijn Schrijvershof beschrieb die Lücke als mit „ungewöhnlich großem Schadensradius". Dass Linux Standard in Rechenzentren ist, bedeutet, dass Web-Dienste, die wir alle nutzen - von Banking-Apps bis zur öffentlichen Verwaltung -, möglicherweise verwundbar sind, bis jemand patcht.

Balkanische Institutionen und Unternehmen, die mit Linux arbeiten, sollten das als Top-Priorität behandeln. Die Skandinavier haben bereits die Schrauben angezogen. Auf dem Balkan ist die Lage eine andere - viele öffentliche Einrichtungen fahren noch alte Distributionen, ohne regelmäßige Updates und ohne eigenes Sicherheitspersonal. Die Frage ist nicht, ob jemand angegriffen wird - sondern wie viele.