Sicherheitslücken im Linux-Kernel versetzen Kryptobörsen, Validatoren und Verwahrungssysteme in Alarmbereitschaft

Sicherheitsforscher reagieren derzeit auf zwei Schwachstellen im Linux-Kernel, die Betreiber von Krypto-Infrastrukturen zu dringenden Sicherheitsüberprüfungen zwingen.

Am 29. April veröffentlichten eine kritische Sicherheitslücke in der Krypto-API des Linux-Kernels, die eine lokale Rechteausweitung ermöglicht und als CVE-2026-31431 oder „Copy Fail“ bezeichnet wird. Copy Fail betrifft Berichten zufolge alle Distributionen ab dem Jahr 2017.

Die Schwachstelle Copy Fail wurde als aktiv bestätigt und am 1. Mai umgehend in den Katalog bekannter ausgenutzter Schwachstellen der US-amerikanischen Cybersecurity and Infrastructure Security Agency aufgenommen.

Weniger als zwei Wochen später, noch bevor viele Organisationen die Maßnahmen zur Abmilderung der Copy Fail-Sicherheitslücke abgeschlossen hatten, tauchte eine weitere Linux-Privilegienausweitungskette namens „Dirty Frag“ auf.

Dirty Frag wurde am 7. Mai öffentlich bekannt gegeben. Berichten zufolge kombiniert es CVE-2026-43284 und CVE-2026-43500, um durch Schwachstellen im Speichermanagement des Linux-Kernels Root-Rechte zu erlangen.

Forscher berichten, dass Dirty Frag Speicherzuweisungsmuster manipulieren kann, um privilegierte Kernelobjekte zu überschreiben und schließlich die Ausführung auf Root-Ebene zu erlangen.

Im Gegensatz zu Copy Fail gab es zum Zeitpunkt der Veröffentlichung von Dirty Frag noch keine verfügbaren Patches.

Warum Kryptofirmen besonders anfällig für Linux-Schwachstellen sind

Der Kryptobereich ist den Sicherheitslücken Copy Fail und Dirty Frag ausgesetzt, da der Großteil der zentralen Krypto-Infrastruktur auf Linux läuft. 

Kryptobörsen nutzen Linux-Server zur Wallet-Verwaltung und Transaktionsabwicklung. Einige der CN-Chain-Validatoren auf PoS-Blockchains wie Ethereum und Solanalaufen üblicherweise in Linux-basierten Umgebungen. Dasselbe gilt für Krypto-Verwahrstellen.

Aus diesem Grund betrachten Forscher Copy Fail und Dirty Frag als Risiko für Kryptoplattformen. 

Für Copy Fail sind bereits Patches verfügbar. Die Bereitstellung von Kernel-Updates in laufenden Krypto-Infrastrukturen ist jedoch selten einfach. Dirty Frag birgt das größte Risiko, da derzeit keine offiziellen Patches zur Verfügung stehen.

Zum Zeitpunkt der Veröffentlichung dieses Artikels hat noch keine größere Kryptobörse oder kein Verwahrungsanbieter einen Verstoß im Zusammenhang mit einer der beiden Sicherheitslücken öffentlich bekannt gegeben.

Sowohl Copy Fail als auch Dirty Frag stehen aktuell auf der Warnliste des kanadischen Cyberzentrums. In einem der Berichte empfiehlt das Cyberzentrum betroffenen Organisationen, anfällige Kernelmodule zu deaktivieren, bis entsprechende Hersteller-Patches verfügbar sind. 

Es wurde außerdem empfohlen, den lokalen und Fernzugriff auf betroffene Systeme einzuschränken, insbesondere in gemeinsam genutzten oder mandantenfähigen Umgebungen. „Überwachen Sie Authentifizierungs-, System- und Kernelprotokolle auf Anzeichen von Rechteausweitung oder ungewöhnlicher Aktivität“, ergänzt das Cyber Center als weitere Sicherheitsmaßnahme. 

Lesen Sie Krypto-News nicht nur, sondern verstehen Sie sie. Abonnieren Sie unseren Newsletter. Er ist kostenlos.