CISA warnt vor Linux-Kernel-Schwachstelle, die bereits in Angriffen ausgenutzt wird

Konkret ermöglicht die Schwachstelle einem lokalen Angreifer, die release_agent-Funktionalität zu manipulieren, die dafür vorgesehen ist, ein Skript auszuführen, wenn eine cgroup leer wird.

Durch Ausnutzung dieses Verhaltens kann ein Angreifer beliebige Befehle mit erhöhten Privilegien ausführen, wodurch er containerisierte Umgebungen verlassen oder root-Rechte auf dem Wirtssystem erlangen kann.

Ausnutzung eines Schwachstellen Linux-Kernel aufgrund unzureichender Authentifizierung Sicherheitsforscher haben festgestellt, dass diese Schwachstelle in containerisierten und cloud-nativen Umgebungen besonders gefährlich ist, in denen cgroups weit verbreitet für die Ressourcenisolierung eingesetzt werden.

Sicherheitslage und Risiko

Fehlkonfigurierte oder nicht gepatchte Systeme können Angreifern ermöglichen, die bereits einen ersten Zugang erlangt haben – beispielsweise über einen kompromittierten Container –, aus dem Container auszubrechen und die darunterliegende Host-Systeme zu übernehmen.

Dies entspricht dem breiteren Trend, dass Angreifer Schwachstellen zum Entweichen aus Containern ausnutzen, um sich innerhalb der Cloud-Infrastruktur laterally zu bewegen.

Die Schwachstelle ist mit CWE-287 (Unzureichende Authentifizierung) und CWE-862 (Fehlende Autorisierung) verknüpft und verdeutlicht unzureichende Prüfungen zur Durchsetzung bestätigte öffentliche Zuordnung 2022-0492 direkt Ransomware-Kampagnen vorliegt, deutet die Aufnahme der Schwachstelle durch das CISA in den KEV-Katalog auf glaubwürdige Hinweise auf eine aktive Ausnutzung in der Wildnis hin.

Sicherheitslage und Risiko

Die CISA hat es den Bundesbehörden auferlegt, die Schwachstelle bis zum 5. Juni 2026 gemäß der verbindlichen operativen Direktive (BOD) 22-01 zu beheben. Die Direktive verpflichtet die Behörden, vom Hersteller bereitgestellte Patches oder Gegenmaßnahmen unverzüglich anzuwenden, um das Expositionsrisiko zu mindern.

Organisationen, die ängig sind, werden dringend aufgefordert, ähnliche Fristen einzuhalten, Verzögerungen bei der Patchung das Kompromittierungsrisiko erhöhen können.

Zu den Gegenmaßnahmen gehören das Aktualisieren des Linux-Kernels auf eine gepatchte Version, die das Problem mit release_agent adressiert, das Deaktivieren äumen, sofern möglich, sowie die Einschränkung des Zugriffs auf cgroup-Konfigurationen.

Technik und Auswirkungen

Sicherheitsteams sollten zudem Container-Umgebungen überprüfen und auf verdächtige Aktivitäten Zusammenhang mit der Manipulation überwachen, da dies auf einen versuchten Ausbruch hinweisen kann.

Die Aufnahme 2022-0492 in den KEV-Katalog unterstreicht das anhaltende Risiko, das durch Privilegien-Eskalationsschwachstellen in weit verbreiteten Open-Source-Komponenten besteht.

Angreifer zunehmend grundlegende Technologien wie den Linux-Kernel angreifen, bleiben rechtzeitige Patches und proaktive Überwachung unerlässlich, Unternehmens- und Cloud-Umgebungen vor sich wandelnden Bedrohungen zu schützen. Abi ist Sicherheitsredakteurin und Reporterin bei