Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

CIFSwitch: KI-Agenten finden 19 Jahre alte Root-Lücke im Linux-Kernel

Angreifer können sich auf vielen Linux-Systemen Root-Rechte verschaffen. Hauptursache ist ein vor fast zwei Jahrzehnten eingeführter Kernel-Bug.
/ Marc Stöckel
3 Kommentare Auf Google folgen (öffnet im neuen Fenster)
Eine seit 2007 bestehende Lücke im Linux-Kernel gefährdet unzählige Systeme. (Bild: pexels.com / Pixabay)
Eine seit 2007 bestehende Lücke im Linux-Kernel gefährdet unzählige Systeme. Bild: pexels.com / Pixabay

Ein für SpaceX tätiger Sicherheitsforscher namens Asim Viladi Oglu Manizada hat eine Sicherheitslücke im Linux-Kernel aufgedeckt, mit der sich Angreifer je nach Konfiguration Root-Rechte verschaffen können. Aufgespürt wurde die Lücke laut Blogbeitrag des Forschers(öffnet im neuen Fenster) mithilfe von KI-Agenten. Ein anfälliger Kernel allein reicht aber wohl nicht aus, um die Schwachstelle ausnutzen zu können. Es müssen weitere Bedingungen erfüllt sein.

Den Angaben zufolge liegt die Ursache der CIFSwitch genannten Lücke bei der Schnittstelle zwischen dem CIFS(öffnet im neuen Fenster)-Modul (Common Internet File System) des Kernels und dem von cifs-utils(öffnet im neuen Fenster) bereitgestellten Userspace-Helper, welcher auf Linux-Systemen für die Kerberos-Authentifizierung verwendet wird.

Neue Angebote bei Golem Jobs (öffnet im neuen Fenster)
Data Quality and BI Governance Manager (w/m/d) Deutsche Glasfaser Unternehmensgruppe, Düsseldorf (öffnet im neuen Fenster)
IT Infrastruktur Spezialist (m/w/d) mit Projektverantwortung GHM Gesellschaft für Handwerksmessen mbH, München,Homeoffice (öffnet im neuen Fenster)
DevOps Engineer / Administrator (w/m/d) Zentraler IT-Betrieb Niedersächsische Justiz, Hannover (öffnet im neuen Fenster)
Senior Software Entwicklerin / Software Entwickler (m/w/d) Embedded C++ Scheidt & Bachmann Signalling Systems GmbH, Berlin (öffnet im neuen Fenster)
Head of Sensor Data Fusion & Resource Management Software Engineering (w/m/d) Hensoldt, Ulm (öffnet im neuen Fenster)
IT-Spezialisten Digitalisierung / Automatisierung (m/w/d) W&N Wittneven-Niederberghaus Steuerberatungsgesellschaft mbH, Coesfeld (öffnet im neuen Fenster)
Systems Engineer (m/w/d) für den Bereich IT (CAD/PLM) Herbert Kannegiesser GmbH, Vlotho (öffnet im neuen Fenster)
Abteilungsleiter EDV / Leiter IT (m/w/d) GEKA mbH, Munster (öffnet im neuen Fenster)

Laut Bericht prüft der Kernel die Herkunft von cifs.spnego-Schlüsselobjekten nicht ordnungsgemäß. Daher sollen sich aus einem nicht vertrauenswürdigen Userspace request_key()-Systemaufrufe mit gefälschter Schlüsselbeschreibung auslösen lassen, bei deren Verarbeitung das System fälschlicherweise annimmt, dass sie vom Kernelmodul stammen.

Kernel-Bug seit 2007 vorhanden

Durch eine Verkettung weiterer Umstände soll sich dieser Fehler auf zahlreichen Linux-Systemen für eine Rechteausweitung auf Root ausnutzen lassen. Nähere Details dazu sind im Blogbeitrag von Manizada(öffnet im neuen Fenster) zu finden. Vorab sind wohl nur einfache Benutzerrechte erforderlich. Der zugrundeliegende Kernel-Bug soll schon seit 2007 existieren und ist damit etwa 19 Jahre alt.

Neben der Lücke im Kernel setzt CIFSwitch allerdings auch eine anfällige cifs-utils-Version voraus. Der anfällige Code befindet sich wohl in allen Versionen ab 6.14. Nach Angaben des Forschers können aber auch ältere Versionen anfällig sein, sofern die problematischen Codebestandteile dort durch Backports nachträglich hinzugefügt wurden. Bestimmte SELinux- und Apparmor-Richtlinien können CIFSwitch-Attacken aber wohl ebenfalls unterbinden.

Bunt gemischte Anfälligkeiten

Je nach Konfiguration ist also nicht jede Linux-Distribution ab Werk angreifbar. Zumindest Linux Mint 21.3 und 22.3, CentOS Stream 9, Rocky Linux 9, AlmaLinux 9.7 und mehrere Versionen von Kali Linux und Suse Linux Enterprise Server sollen jedoch nach Angaben des Forschers in der Standardkonfiguration anfällig sein.

Opensuse Leap 15.6, Rocky Linux 8, Amazon Linux 2023, Debian 11 bis 13 sowie Ubuntu 18.04, 20.04, 22.04 und 24.04 gelten hingegen nur als angreifbar, wenn cifs-utils manuell nachinstalliert wurde. Bei CentOS Stream 10, Opensuse Leap 16, AlmaLinux 10.1, Rocky Linux 10, Ubuntu 26.04 und Fedora 40 bis 44 soll die Ausnutzung von CIFSwitch derweil ab Werk immer blockiert werden, auch wenn cifs-utils vorhanden ist.

Patch verfügbar, Verbreitung unklar

Eine Auflistung(öffnet im neuen Fenster) aller nach aktuellem Kenntnisstand anfälligen Linux-Distributionen sowie der jeweils nötigen Voraussetzungen ist in Manizadas Blogbeitrag zu finden. Es gibt auch schon einen Kernel-Patch(öffnet im neuen Fenster), der die Lücke schließt. Da es für CIFSwitch noch keine CVE-ID gibt, lässt sich aktuell aber nur schwer nachvollziehen, in welche Distributionen der Patch schon eingepflegt wurde.

Manizada nennt in seinem Blog auch noch ein paar alternative Workarounds. Demnach hilft es auch, das CIFS-Kernelmodul zu blockieren oder cifs-utils zu entfernen, sofern die entsprechenden Komponenten nicht benötigt werden. Ob ein Linux-System anfällig ist oder umgesetzte Schutzmaßnahmen wirksam sind, lässt sich anhand eines auf Github veröffentlichten Proof-of-Concept-Exploits(öffnet im neuen Fenster) überprüfen.

Nachtrag vom 2. Juni 2026, 10:12 Uhr

Inzwischen liegt mit CVE-2026-46243(öffnet im neuen Fenster) auch eine CVE-ID zu CIFSwitch vor, anhand derer sich der Patch-Status(öffnet im neuen Fenster) der jeweiligen Distributionen(öffnet im neuen Fenster) leichter nachvollziehen lässt.

Zur Startseite 3 Kommentare

Relevante Themen

Updates & PatchesOpen SourceLinuxSoftwareBetriebssystemeSecuritySicherheitslückeDatensicherheit