Linux-Schwachstellen Copy Fail, Copy Fail 2 und Dirty Frag: Root-Zugriff auf gängigen Distributionen

Drei hochkritische Linux-Schwachstellen zur lokalen Rechteausweitung (LPE) gefährden Systeme weltweit. Angreifer benötigen zwar initialen Zugriff auf Benutzerebene – können dann aber Befehle als Root ausführen und das System vollständig übernehmen. Alle drei CVEs sind auf gängigen Linux-Distributionen zuverlässig ausnutzbar.

Der Name „Copy Fail“ wurde CVE-2026-31431 (CVSS 7.8) zum Zeitpunkt der Offenlegung gegeben, und nachfolgende Untersuchungen führten zur Entdeckung von CVE-2026-43284 (CVSS 8.8), auch „Copy Fail 2“ genannt, sowie CVE-2026-43500 (CVSS 7.8). Die Angriffskette, die CVE-2026-43284 und CVE-2026-43500 umfasst, wurde als „Dirty Frag“ bezeichnet. CVE-2026-31431 wurde in die KEV-Liste der CISA aufgenommen, nachdem von Microsoft eine aktive Ausnutzung gemeldet wurde. Microsoft stuft „Dirty Frag“ zudem als hochriskant für Aktivitäten nach der Ausnutzung ein. Weltweit wurden zahlreiche nationale CERT-Warnungen zu den CVEs

Greenbone bietet eine Erkennung auf Linux-Paketebene für alle drei oben genannten dringenden CVEs über ein breites Spektrum an Linux-Distributionen hinweg [1][2][3]. Die Abdeckung von Greenbone erstreckt sich auch auf Sicherheitsupdates für eine Vielzahl von Software- und Hardwareprodukten. Daher kann OPENVAS SCAN auch dabei helfen, die Auswirkungen von „Copy Fail“, „Copy Fail 2“ und „Dirty Frag“ in Linux-basierten Produkten von Drittanbietern zu identifizieren.

Greenbones OPENVAS SCAN verfügt über eine branchenführende Erkennung für viele Linux-Distributionen mit authentifizierten Local Security Checks (LSC). Authentifizierte LSCs bieten eine zuverlässige Erkennung, da sie Endpunktsysteme von innen analysieren, Bestandslisten erstellen, Software-Schwachstellen auf Paketebene aufdecken und andere Sicherheitsfehlkonfigurationen identifizieren.

 

Was sind Copy Fail, Copy Fail 2 und Dirty Frag? Hintergrund und Zeitplan

Der Zeitplan für die Offenlegung von Copy Fail, Copy Fail 2 und Dirty Frag verlief zügig und überschneidet sich mit Patches für den Mainline-Linux-Kernel sowie nachgelagerten Updates von Linux-Distributionen. Da mehrere damit zusammenhängende Ereignisse innerhalb kurzer Zeit auftraten, ist es sinnvoll, zunächst die Terminologie und den zeitlichen Ablauf der Ereignisse zu klären:

• Copy Fail: Bezieht sich auf CVE-2026-31431 (CVSS 7.8), eine LPE-Sicherheitslücke im Linux-Kernel. Copy Fail wurde am 23. März 2026 privat gemeldet und am 1. April im Mainline-Linux-Kernel gepatcht. Am 22. April wurde die Schwachstelle als CVE-2026-31431 veröffentlicht, und wenige Tage später folgten ein vollständiger technischer Bericht [1] sowie ein Proof-of-Concept-Exploit (PoC) [2].
• Microsoft meldete am 1. Mai 2026 eine aktive Ausnutzung, und die CISA fügte CVE-2026-31431 noch am selben Tag in den Katalog der bekannten ausgenutzten Schwachstellen (KEV) ein. Seitdem sind weitere technische Beschreibungen [3][4][5], PoC-Exploits [5][6] sowie ein kommerzieller Penetrationstest-Exploit [7] verfügbar geworden.
• Copy Fail 2: Bezieht sich auf CVE-2026-43284 (CVSS 8.8), veröffentlicht am 8. Mai 2026. Die Schwachstelle wurde im Rahmen von Folgeuntersuchungen zur Grundursache von „Copy Fail“ entdeckt. „Copy Fail 2“ wurde am 30. April 2026 privat gemeldet, und der Fix wurde am 8. Mai in den Mainline-Linux-Kernel integriert. Eine technische Beschreibung [8] und ein PoC-Exploit [9] wurden am 7. Mai veröffentlicht, einen Tag bevor die Upstream-Kernel-Patches für Downstream-Linux-Distributionen verfügbar wurden. Der ursprüngliche technische Bericht weist darauf hin, dass die zugrunde liegende Schwachstelle allein für Root-Zugriff ausgenutzt werden könnte, ohne mit anderen Software-Schwachstellen verkettet zu werden, wie beispielsweise bei dem unten beschriebenen „Dirty Frag“.
• Dirty Frag: Bezieht sich auf die verkettete Ausnutzung von CVE-2026-43284 (Copy Fail 2) und CVE-2026-43500 (CVSS 7.8). Obwohl CVE-2026-43500 am 11. Mai 2026 verantwortungsbewusst offengelegt und veröffentlicht wurde, gelangten sensible Informationen an die Öffentlichkeit, bevor ein Fix in den Mainline-Linux-Kernel übernommen wurde. Dies veranlasste den Sicherheitsforscher Hyunwoo Kim (@v4bel), am 8. Mai technische Details [9] und PoC-Code [10] zu veröffentlichen, bevor die Ursache von CVE-2026-43500 am 10. Mai 2026 im Mainline-Linux-Kernel behoben wurde.

Risikoanalyse: Warum Copy Fail und Dirty Frag so gefährlich sind

Die Schwachstellen sind breit gestreut: Linux läuft in Netzwerk- und Sicherheitsgeräten, Workstations, Cloud-Umgebungen, IoT-Geräten, eingebetteten Systemen, Industrieanlagen und kritischen Infrastrukturen. Alle drei CVEs sind zuverlässig ausnutzbar – und das auf allen großen Linux-Distributionen, was zu einer breiten globalen Gefährdung führt. Die Schwachstellen lassen sich auf drei separate Upstream-Linux-Commits zurückführen; Copy Fail [72548b093ee3] und Copy Fail 2 [cac2661c53f3] wurden 2017 eingeführt, während der Dirty-Frag-Commit [2dc334f1a63a] 2023 eingeführt wurde [1][2].

Eine aktive Ausnutzung von CVE-2026-31431 (Copy Fail) wurde von Microsoft beobachtet und in die KEV-Liste der CISA aufgenommen, obwohl nur wenige Details zu den Angriffen verfügbar sind. Microsoft stuft zudem Dirty Frag als hohes Risiko für Post-Exploitation-Aktivitäten ein. Erschwerend kommt hinzu: Technische Details und Exploit-Code für CVE-2026-43284 und CVE-2026-43500 kursierten öffentlich, bevor Patches die nachgelagerten Linux-Distributionen erreichten. Damit hatten Angreifer mehr Zeit zum Handeln. Für CVE-2026-43284 wurden sensible Details zeitgleich mit den Upstream-Kernel-Commits veröffentlicht – trotz verantwortungsbewusster Offenlegung durch die Forscher.

Bei CVE-2026-43500 erfolgte die frühe öffentliche Bekanntmachung durch einen Patch, der am 29. April an die öffentliche netdev-Mailingliste gesendet wurde.

Vollständige technische Details und PoC-Exploit-Code sind für alle drei CVEs öffentlich verfügbar, was das Risiko einer Ausnutzung durch weniger erfahrene Angreifer und Initial Access Brokers (IAB) erhöht, die unbefugten Zugriff an Cyberkriminelle verkaufen. Weltweit wurden zahlreiche nationale CERT-Warnungen herausgegeben, und zahlreiche Produktanbieter haben Sicherheitshinweise und Notfall-Patches veröffentlicht, um die Probleme zu beheben [3][4][5][6][7][8][9][10][11][12][13].

Obwohl LPE-Schwachstellen für die Ausnutzung lokalen Kontozugriff erfordern, können Angreifer den erforderlichen Zugriff auf vielfältige Weise erlangen, beispielsweise:

• Bestehende Software-Schwachstellen [T1190] [T1203]
• Verwendung gestohlener Anmeldedaten [T1078]
• Phishing und Spear-Phishing [T1566]
• Böswillige Insider [T1199]
• Kompromittierung der Lieferkette [T1195]

Zu den potenziellen Auswirkungen einer erfolgreichen Ausnutzung gehören:

Ransomware-Angriffe

• Ransomware-Angriffe [T1486]
• Diebstahl von Anmeldedaten [TA0006]
• Einsatz von Rootkits [T1014] für verdeckten, dauerhaften Zugriff [TA0003]
• Ersetzen von Binärdateien [T1554]
• Deaktivierung von Sicherheitstools [TA0005]
• Einbindung in Botnetze [T1584.005]
• Seitliche Bewegung auf andere Systeme [TA0008]
• Ablegen von manipulierten Dateien [T1204.002]
• Nachgelagerte Angriffe auf die Lieferkette [T1195]

Patches und Gegenmaßnahmen für Copy Fail, Copy Fail 2 und Dirty Frag

Stand 13. Mai liegen noch nicht für alle CVEs in allen gängigen Distributionen fertige Patches vor. Vorrang hat die Identifikation betroffener Systeme und die sofortige Installation verfügbarer Kernel-Patches. Bis dahin können Sicherheitsverantwortliche die anfälligen Kernel-Module algif_aead, esp6, esp4 und rxrpc deaktivieren [1][2][3][4]. In einigen Fällen könnte dieser Ansatz jedoch problematisch sein, wenn die Module erforderliche Funktionen unterstützen.

Aufgrund der aktiven Ausnutzung und der Verfügbarkeit von PoC-Exploits sollten Sicherheitsverantwortliche die Überwachung auf Indikatoren für Kompromittierung (IoCs) und verdächtige Aktivitäten in Betracht ziehen und bei Verdacht auf einen Sicherheitsvorfall Maßnahmen zur Incident Response ergreifen.

Es ist zudem wichtig zu beachten, dass „Copy Fail“, „Copy Fail 2“ und „Dirty Frag“ zusätzliche Risiken für viele Linux-basierte Produkte von Drittanbietern mit sich bringen können. Sicherheitsverantwortliche sollten die gesamte Infrastruktur auf Schwachstellen scannen und die Sicherheitsrichtlinien der betroffenen Produkthersteller befolgen.

Greenbone bietet eine Erkennung auf Linux-Paketebene für alle drei oben genannten dringenden CVEs über ein breites Spektrum von Linux-Distributionen hinweg [5][6][7]. Die Abdeckung von Greenbone erstreckt sich auch auf Sicherheitsupdates für eine Vielzahl von Software- und Hardwareprodukten, was bedeutet, dass OPENVAS SCAN dabei helfen kann, die Auswirkungen von „Copy Fail“, „Copy Fail 2“ und „Dirty Frag“ auch in Linux-basierten Produkten von Drittanbietern zu identifizieren.

Greenbones OPENVAS SCAN verfügt über eine branchenführende Erkennung für viele Linux-Distributionen mit authentifizierten Local Security Checks (LSC). Authentifizierte LSCs bieten eine zuverlässige Erkennung, da sie Endpunktsysteme von innen analysieren, Bestandslisten erstellen, Software-Schwachstellen auf Paketebene aufdecken und andere Sicherheitsfehlkonfigurationen identifizieren.

 

Fazit: Jetzt patchen – Copy Fail und Dirty Frag aktiv ausgenutzt

Copy Fail, Copy Fail 2 und Dirty Frag sind ein ernstes Problem für alle Linux-Systeme und -Geräte. Es handelt sich um LPE-Schwachstellen, die lokalen Zugriff voraussetzen – aber genau das reicht aus, um Root-Kontrolle zu erlangen. Das Risiko ist echt: PoC-Exploit-Code ist öffentlich verfügbar, CVE-2026-31431 wird aktiv ausgenutzt, und alle drei CVEs funktionieren zuverlässig auf gängigen Linux-Distributionen.

Wer OPENVAS SCAN einsetzt, sollte jetzt scannen – netzwerkweit, inklusive Drittanbieter-Software und -Hardware. Verfügbare Sicherheitsupdates sollten umgehend eingespielt werden. Wo Patches noch fehlen, helfen die Kernel-Modul-Workarounds als Überbrückung. Zusätzlich empfiehlt es sich, lokale Zugriffspfade einzuschränken und die Systeme aktiv auf IoCs zu überwachen.