Thought Leadership
Die US-Behörde CISA warnt vor Angriffen auf die Linux-Schwachstelle CVE-2022-0492, die eine Privilegieneskalation und Container-Ausbrüche ermöglicht.
Die US-amerikanische Cybersicherheitsbehörde CISA hat eine offizielle Warnung bezüglich einer aktiv ausgenutzten Schwachstelle im Linux-Kernel herausgegeben. Die Sicherheitslücke wird unter der Kennung CVE-2022-0492 geführt und weist eine Risikobewertung von 7,8 auf der CVSS-Skala auf. Aufgrund der festgestellten Angriffe in realen Systemen hat die Behörde den Defekt in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen.
Bundesbehörden in den Vereinigten Staaten wurden gesetzlich verpflichtet, ihre betroffenen Systeme bis zum 5. Juni 2026 zu aktualisieren. Berichte über die praktische Ausnutzung wurden unmittelbar vor der offiziellen Warnung durch das IT-Sicherheitsunternehmen Kaspersky dokumentiert, welches Angriffe auf isolierte Containerumgebungen beobachtete. Genaue Angaben zu den Angreifern oder den betroffenen Opfern wurden bislang nicht veröffentlicht.
Ursache in den Linux-Kontrollgruppen
Der informationstechnische Fehler betrifft die Kontrollgruppen des Linux-Kernels, die als cgroups bezeichnet werden. Diese Funktion regelt die Zuweisung und Begrenzung von Betriebssystemressourcen für bestimmte Prozessgruppen. Zusammen mit den Namespaces bilden cgroups die technologische Basis für die Isolation von Prozessen und die Absicherung von virtuellen Containern. Die Schwachstelle ist ausschließlich in der älteren Version cgroups v1 vorhanden, während die neuere Version cgroups v2 nicht betroffen ist.
Durch einen Fehler bei der Authentifizierungsprüfung können unbefugte Benutzer die Datei namens release_agent modifizieren, die sich im Stammverzeichnis der cgroup-Hierarchie befindet. Diese Datei wird automatisiert mit Root-Rechten ausgeführt, sobald eine Kontrollgruppe leer läuft. Das IT-Sicherheitsunternehmen HackTheBox beschreibt die technische Kette des Exploits wie folgt: „Es ist dann möglich, ein bösartiges Skript zu erstellen, das sich auf dem Host-Dateisystem befindet und als Root im Rahmen des Cgroup-Benachrichtigungsprozesses ausgeführt wird, was im Wesentlichen einen Container-Ausbruch und eine Privilegieneskalation ermöglicht“.
Zudem erlaubt der Softwarefehler es Angreifern, einen neuen Benutzer-Namespace mit Administratorrechten zu generieren, um darüber eine manipulierte release_agent-Datei einzuschleusen und die vollständige Kontrolle über das Host-System zu übernehmen.
Gleichzeitige Schließung einer kritischen Android-Schwachstelle
Flankierend zu der Linux-Warnung drängt die CISA auf die sofortige Schließung einer weiteren kritischen Sicherheitslücke in Mobilgeräten. Es handelt sich um die Schwachstelle CVE-2025-48595, die sich im Framework-Modul des Betriebssystems Android befindet und als Zero-Day-Lücke eingestuft wurde. Das US-Unternehmen Google hat in dieser Woche ein entsprechendes Sicherheitsupdate bereitgestellt und zeitgleich bestätigt, dass die Schwachstelle bereits vor der Veröffentlichung des Patches für gezielte Angriffe ausgenutzt wurde.
(red)
