Sicherheitslücke „CIFSwitch“ ermöglicht unter bestimmten Voraussetzungen die Erlangung von Root-Rechten
Ein Sicherheitsforscher hat eine schwerwiegende Schwachstelle im Linux-Kernel aufgedeckt, die Angreifern unter bestimmten Bedingungen die Ausweitung ihrer Rechte bis hin zum Root-Zugriff ermöglichen kann. Besonders bemerkenswert: Die als „CIFSwitch“ bezeichnete Sicherheitslücke soll mithilfe von KI-Agenten entdeckt worden sein. Der zugrunde liegende Programmierfehler existiert offenbar bereits seit dem Jahr 2007 und blieb damit fast zwei Jahrzehnte unentdeckt.
Entdeckt wurde die Schwachstelle von dem für SpaceX tätigen Sicherheitsforscher Asim Viladi Oglu Manizada. Nach seinen Angaben betrifft das Problem die Schnittstelle zwischen dem CIFS-Modul (Common Internet File System) des Linux-Kernels und den von cifs-utils bereitgestellten Komponenten zur Kerberos-Authentifizierung.
Fehlerhafte Überprüfung von Schlüsselobjekten
Der Analyse zufolge überprüft der Kernel die Herkunft bestimmter cifs.spnego-Schlüsselobjekte nicht ausreichend. Dadurch können Prozesse aus dem Userspace manipulierte request_key()-Aufrufe erzeugen. Das System behandelt diese Anfragen anschließend fälschlicherweise so, als würden sie direkt vom Kernelmodul stammen. In Kombination mit weiteren Faktoren kann dies zu einer Privilegieneskalation führen.
Für einen erfolgreichen Angriff reichen nach Angaben des Forschers in vielen Fällen bereits gewöhnliche Benutzerrechte aus. Allerdings müssen zusätzliche Voraussetzungen erfüllt sein, sodass nicht jedes Linux-System automatisch betroffen ist.
Kernel-Bug stammt aus dem Jahr 2007
Besonders kritisch ist das Alter der Schwachstelle. Der zugrunde liegende Fehler wurde offenbar bereits im Jahr 2007 in den Linux-Kernel eingeführt und blieb über rund 19 Jahre hinweg unbemerkt.
Neben dem Kernel-Fehler setzt ein erfolgreicher Angriff jedoch auch eine anfällige Version von cifs-utils voraus. Der problematische Code befindet sich nach aktuellen Erkenntnissen in allen Versionen ab 6.14. Unter Umständen können jedoch auch ältere Ausgaben betroffen sein, sofern entsprechende Codebestandteile per Backport übernommen wurden.
Darüber hinaus können bestimmte Sicherheitsrichtlinien von SELinux oder AppArmor die Ausnutzung der Lücke verhindern und damit einen zusätzlichen Schutz bieten.
Nicht alle Distributionen gleichermaßen betroffen
Ob ein Linux-System tatsächlich angreifbar ist, hängt maßgeblich von der jeweiligen Distribution und deren Standardkonfiguration ab. Nach Angaben des Forschers gelten unter anderem Linux Mint 21.3 und 22.3, CentOS Stream 9, Rocky Linux 9, AlmaLinux 9.7 sowie mehrere Versionen von Kali Linux und Suse Linux Enterprise Server als standardmäßig anfällig.
Andere Distributionen wie Debian 11 bis 13, Ubuntu 18.04 bis 24.04, Amazon Linux 2023, Rocky Linux 8 oder Opensuse Leap 15.6 sind demnach nur dann gefährdet, wenn cifs-utils nachträglich installiert wurde.
Bei neueren Plattformen wie Fedora 40 bis 44, Ubuntu 26.04, CentOS Stream 10, Rocky Linux 10, AlmaLinux 10.1 und Opensuse Leap 16 soll die Ausnutzung der Schwachstelle hingegen bereits durch die Standardkonfiguration verhindert werden.
Sicherheitsupdate bereits verfügbar
Inzwischen steht ein Patch zur Verfügung. Da CIFSwitch bislang jedoch keine offizielle CVE-Kennung erhalten hat, ist derzeit nur schwer nachzuvollziehen, welche Linux-Distributionen das Update bereits integriert haben.
Als alternative Schutzmaßnahmen empfiehlt der Forscher, das CIFS-Kernelmodul zu deaktivieren oder cifs-utils zu entfernen, sofern die entsprechenden Funktionen im System nicht benötigt werden. Administratoren sollten ihre Systeme zeitnah überprüfen und verfügbare Sicherheitsupdates einspielen, um das Risiko einer möglichen Rechteausweitung zu minimieren.
KI als Werkzeug der Sicherheitsforschung
Der Fall zeigt eindrucksvoll, welches Potenzial moderne KI-Agenten inzwischen für die IT-Sicherheitsforschung besitzen. Dass ein fast 20 Jahre alter Fehler im Linux-Kernel erst durch den Einsatz künstlicher Intelligenz entdeckt wurde, verdeutlicht, wie sich die Suche nach Sicherheitslücken durch automatisierte Analyseverfahren grundlegend verändert.
- Support für Windows 10 wird bis 2027 verlängert – 26. Juni 2026
- Was ist SERP? Einfach erklärt – 25. Juni 2026
- Top500-Liste: Chinas neuer Supercomputer durchbricht die 2-Exaflop-Grenze – 24. Juni 2026
![Einstieg in CSS: Wir bauen eine moderne Website für einen Rechtsanwalt [Teil 2] 🚀](https://www.webnumerus.de/wp-content/uploads/2026/05/Aufbau_CSS-Selektor-300x225.jpg "Einstieg in CSS: Wir bauen eine moderne Website für einen Rechtsanwalt [Teil 2] 🚀")
![Einstieg in HTML: Wir bauen eine moderne Website für einen Rechtsanwalt [Teil 1] 🚀](https://www.webnumerus.de/wp-content/uploads/2026/06/Einstieg_in_HTML-300x169.jpg "Einstieg in HTML: Wir bauen eine moderne Website für einen Rechtsanwalt [Teil 1] 🚀")
![Umsteigen auf Linux [Teil 1]: So will ich auf Linux umsteigen und mir meine digitale Souveränität aufbauen](https://www.webnumerus.de/wp-content/uploads/2026/02/auf_Linux_umsteigen-300x200.jpg "Umsteigen auf Linux [Teil 1]: So will ich auf Linux umsteigen und mir meine digitale Souveränität aufbauen")
Schreiben Sie einen Kommentar