Root-Zugriff und mehr: Sicherheitslücken gefährden Millionen von Linux-Systemen
Forscher von Qualys haben mehrere Schwachstellen in einem Sicherheitstool für Linux aufgedeckt, mit denen sich Angreifer Root-Rechte verschaffen können. Das Tool ist unter dem Namen Apparmor(öffnet im neuen Fenster) bekannt und wird bei vielen Distributionen wie Ubuntu, Debian und Suse als Kernelmodul standardmäßig für die Rechteverwaltung genutzt. Laut Blogbeitrag der Forscher(öffnet im neuen Fenster) sind mehr als 12,6 Millionen Systeme gefährdet.
Passend zum Namen der anfälligen Anwendung nennen die Qualys-Forscher ihre Entdeckung Crackarmor. Das Problem setzt sich den Angaben zufolge aus neun einzelnen Sicherheitslücken zusammen, die seit der Kernel-Version 4.11 und damit schon seit Mai 2017 bestehen.
Angreifer mit einfachen Benutzerrechten können Crackarmor laut Qualys ausnutzen, um unter anderem Dienste zum Absturz zu bringen, Sicherheitsprofile zu manipulieren, Einschränkungen der User-Namespaces zu umgehen und auf Kernel-Ebene eigenen Code auszuführen. Durch komplexe Interaktionen mit Tools wie Sudo und Postfix soll zudem eine Rechteausweitung auf Root möglich sein.
Patch-Entwicklung dauerte Monate
"Der Umstand, dass es hier um das Standard-Sicherheitsmodul in Ubuntu-, Debian- und Suse-Systemen geht, macht diese Schwachstelle in Verbindung mit einem lokalen Zugriff zu einem kritischen Angriffsvektor für diese Distributionen" , schreiben die Forscher. Mögliche Folgen einer erfolgreichen Ausnutzung seien etwa Betriebsausfälle, Datenlecks und weiterführende Angriffe.
Wer sich für technische Details zu den Sicherheitslücken interessiert, findet diese in einem separaten Bericht(öffnet im neuen Fenster) . Demzufolge hat Qualys die ersten Lücken schon im Juli 2025 an den Entwickler Canonical sowie das Sicherheitsteam von Ubuntu gemeldet. Die Koordination sowie die Bereitstellung von Patches habe danach jedoch mehrere Monate in Anspruch genommen.
Das lag nach Angaben der Forscher unter anderem daran, dass die Entwickler sicherstellen wollten, dass die Korrekturen für alle Linux-Distributionen möglichst robust und stabil sind. Im Laufe der Monate seien die Patches daher über mehrere Runden hinweg wiederholt geprüft worden. Auch sei es teilweise zu Verzögerungen bei der Kommunikation mit Maintainern gekommen.
Patches verfügbar, CVE-IDs nicht
Qualys verfügt zwar nach eigenen Angaben über funktionsfähige Exploits zur Ausnutzung von Crackarmor, diese werden aber aus Sicherheitsgründen noch unter Verschluss gehalten. Anwender sollen dadurch zunächst genug Zeit bekommen, um ihre Linux-Systeme zu aktualisieren und die bereitgestellten Patches einzuspielen(öffnet im neuen Fenster) . CVE-Kennungen sind noch nicht verfügbar.
"Unternehmen sollten der Aktualisierung eine hohe Priorität einräumen" , empfehlen die Forscher. Wer prüfen will, ob bereits ein Angriff erfolgt ist, kann beispielsweise unter "/sys/kernel/security/apparmor/" nachsehen, ob unerwartete Profiländerungen stattgefunden haben.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.