Die US-Agentur für Infrastruktur und Cybersicherheit. USA. ( CISA) hat in seinem Katalog Known Exploited Vulnerabilities (KEV) eine kritische Schwachstelle vor kurzem im Linux-Kern offenbart, registriert als CVE-2026-31431(CVSS 7.8), nachdem Forscher und Sicherheitsunternehmen Beweise für eine aktive Ausbeutung gemeldet haben. Dies ist ein lokales Privileg Heben (LPE) Fehler namens "Copy Fail", die es einem unprivilegierten Benutzer ermöglicht, den Root-Zugriff zu erhalten, indem der Cache von Seiten im Speicher des Kernels verwaltet wird; die Patches, die das Problem korrigieren, wurden bereits in die Zweige des Kernels integriert, die von den Betreuern identifiziert wurden, einschließlich der Versionen 6.18.22, 6.19.12 und 7.0.
In technischer Hinsicht ist der Fehler ein kontrollierte Korruption der Cache-Seite die sich auf die Art und Weise, wie der Kernel Ressourcen zwischen internen "Sphären" des kryptographischen Subsystems (AF _ ALG) kopiert. Durch korrupte Betonbytes im Cache eines ausführbaren im Speicher - ohne die Festplatte zu berühren - kann ein Angreifer Anweisungen in privilegierte Setuid Binaries (z.B. / usr / bin / su) injizieren und mit UID 0 ausführen. Die Autoren des Berichts erklären, dass der Bug aus drei scheinbar unokularen Veränderungen kommt, die in 2011, 2015 und 2017 eingeführt wurden, so dass der Fehler in Kernel seitdem verteilt ist und mit einem sehr kompakten PoC in Python (zusätzlich zu in Go und Rust erkannten Implementierungen) zuverlässig ausgenutzt werden kann.
Die öffentliche Verfügbarkeit eines PoC und die lokale Natur des Vektors machen das Risiko besonders hoch in Umgebungen, in denen ein initialer Zugriff verknüpft werden kann: ein kompromittiertes SSH-Konto, ein schädlicher CI-Job oder ein Leck innerhalb eines Containers kann als Ausgangspunkt dienen. Sicherheitsunternehmen warnen, dass die Erkennung komplex ist, weil die Operation legitime Systemanrufe verwendet, so dass es schwierig, bösartige Aktivität von normalen Verhalten zu unterscheiden. Das gefährlichste Szenario ist die von Cloud-Umgebungen und Containern, wo Docker, LXC oder Kubernetes das AF _ ALG Subsystem im Host freisetzen kann, wenn das Algif _ aead-Modul geladen ist, das Barrieren reduziert und die Behälterisolation bricht, um den physischen Host zu kompromittieren.
Angesichts dieses realen Szenarios muss die Zahl eins für Manager und Sicherheitsbeamte sein Grundstück so schnell wie möglich. CISA hat diese Schwachstelle als ausgebeutet und empfohlen, die Anwendung von Anbieter-Updates gekennzeichnet; außerdem haben US-Bundesbehörden eine interne Frist (Mai 15, 2026) erhalten, um das Risiko zu mindern. Sie können die Aufnahme in den KEV Katalog und die offiziellen Hinweise auf der CISA-Seite sehen: https: / / www.cisa.gov / Wissens-exploited-vulnerabilities-catalog und überprüfen Sie den Eintrag in MITRE für mehr technischen Kontext: https: / / cve.mitre.org / cgi-bin / cvename.cgi? Name = CVE-2026-31431.
Wenn es nicht möglich ist, sofort zu aktualisieren, gibt es kompensatorische Maßnahmen, die die Belichtungsfläche reduzieren: verhindern Sie, dass der Host das Algif _ aead-Modul (zum Beispiel herunterladen oder blockieren Sie seine Last mit Modulrichtlinien), isolieren Systeme mit Netzwerkzugriffskontrolle und Segmentierung, um ausnutzbare Eingangstüren, Überprüfungsberechtigungen und SSH-Zugang zu minimieren und unnötige Containerkonfigurationen (vermeiden hohen Privilegien, verwenden seccomp / SEL/SEL-Sub-Profile) Beachten Sie, dass herkömmliche Dateiintegritätslösungen diese Technik nicht erkennen können, da das ausführbare Gerät nie auf Festplatte geändert wird; daher Prävention und Parken sind zuverlässiger als nachfolgende Erkennung.
Es ist auch notwendig, die Telemetrie und die Reaktion zu stärken: Auditprotokolle zu aktivieren und zu überprüfen, Prozesse zu überwachen, die auf UID 0 ändern, EDR / NGAV-Fähigkeiten zu implementieren, die lokale Anomalien korrelieren und Eindämmungs-Playbooks für Vorfälle mit Eskalation von Privilegien in Hosts oder Orchestrationsknoten vorzubereiten. Geräte, die Containerbilder verwalten, sollten Bilder auf geparched Kernel regenerieren und neu falten und CI-Pipelines überprüfen, um unzuverlässige Ausführungen zu vermeiden, die als anfänglicher Arbeitspunkt wirken können.
Das Ausmaß dieser Schwachstelle, seine einfache Ausbeutung mit einem verfügbaren PoC und seine potenziellen Auswirkungen auf Multiuser- und Cloud-Umgebungen machen es nicht zu einer theoretischen Bedrohung: wenn Ihre Infrastruktur Linux verwendet (insbesondere in Containern oder gemeinsamen Systemen), muss es jetzt handeln. Um zu überprüfen, ob Ihre Organisation Patches oder Minderungen angewendet hat, überprüfen Sie die Richtlinien und Bulletins Ihres Distributors und überprüfen Sie die Kernel-Version in den betroffenen Hosts; die offizielle Kernel-Seite und die Repositories seiner Distribution sind praktische Ausgangspunkte: http://www.kernel.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...