Neun Jahre alter Linux-Kernel-Bug wird aktiv ausgenutzt: Was Administratoren jetzt tun müssen

Die US-Behörde für Cybersicherheit CISA hat eine neun Jahre alte Sicherheitslücke im Linux-Kernel in ihren Katalog aktiv ausgenutzter Schwachstellen aufgenommen. Der Fehler mit der Kennung CVE-2026-31431 ermöglicht es einem unprivilegierten lokalen Nutzer, Root-Zugriff auf das betroffene System zu erlangen. Patches sind verfügbar. Wer sie nicht einspielt, öffnet Angreifern die Tür zur vollständigen Systemkontrolle.

Was hinter „Copy Fail“ steckt

Sicherheitsforscher von Theori und Xint haben den Bug unter dem Namen „Copy Fail“ dokumentiert. Die Schwachstelle steckt in der Authentifizierungs-Kryptografie-Schicht des Linux-Kernels und lässt sich durch einen Logikfehler beim Ressourcentransfer ausnutzen. Ein Angreifer mit lokalem Zugang kann die Lücke zuverlässig triggern und damit Root-Rechte erlangen.

Besonders beunruhigend ist die Kombination aus Alter und Verbreitung. Der Fehler ist neun Jahre alt und hat in dieser Zeit automatisierte Sicherheitsscans sowie manuelle Prüfungen überlebt. Betroffen sind zahlreiche aktiv eingesetzte Linux-Distributionen in Unternehmensumgebungen.

Welche Systeme betroffen sind und was zu tun ist

Fixes stehen in den Linux-Kernel-Versionen 6.18.22, 6.19.12 und 7.0 bereit. US-Bundesbehörden haben von CISA eine Patch-Deadline bis zum 15. Mai 2026 erhalten. Für Unternehmensadministratoren gelten dieselben Prioritäten.

Wer kurzfristig nicht patchen kann, sollte drei Maßnahmen sofort umsetzen:

Netzwerkisolierung. Systeme mit lokalem Zugang für nicht vertrauenswürdige Nutzer vom restlichen Netzwerk segmentieren, bis Patches eingespielt sind.

Zugangskontrollen verschärfen. Lokale Nutzerrechte auf das absolute Minimum reduzieren. Jeder nicht notwendige lokale Account ist ein potenzieller Angriffsvektor.

Betroffenes Feature deaktivieren. CISA empfiehlt, die betroffene Funktionalität zu deaktivieren, sofern ein sofortiger Patch nicht möglich ist.

Warum uralte Bugs 2026 wieder gefährlich werden

Der Fall reiht sich in ein Muster ein, das Sicherheitsforscher seit Monaten beobachten. KI-gestützte Schwachstellenanalyse macht es möglich, jahrzehntealte Lücken in großem Maßstab zu identifizieren und auszunutzen. Was früher monatelange manuelle Arbeit erforderte, dauert heute Stunden.

Anthropics Claude Mythos hatte vor wenigen Wochen demonstriert, wie ein KI-Modell eigenständig einen 27 Jahre alten Bug in OpenBSD gefunden und mehrere Linux-Kernel-Schwachstellen zu einem vollständigen Systemzugriff verknüpft hat. CVE-2026-31431 zeigt: Das ist keine akademische Übung. Angreifer nutzen dieselben Methoden bereits produktiv.

Für Administratoren bedeutet das eine neue Realität: Das Patch-Fenster zwischen Disclosure und aktivem Exploit ist drastisch geschrumpft. Wer wartet, verliert.