Linux-Kernel: Angreifer attackieren ältere Sicherheitslecks

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Sicherheitslücken im Linux-Kernel stehen im Visier von Angreifern und werden aktiv missbraucht. Davor warnt die US-amerikanische IT-Sicherheitsbehörde CISA aktuell. Wer noch mit älterem Kernel unterwegs ist, sollte rasch auf aktuellen Stand aktualisieren.

In einer Benachrichtigung nennt die CISA lediglich die CVE-Schwachstelleneinträge der attackierten Sicherheitslücken. Informationen zu den Attacken selbst fehlen vollständig. Unklar ist daher der Umfang der Angriffe und etwa, mit welchem Ziel die bösartigen Akteure agieren.

Linux-Sicherheitslücken attackiert

Beide Schwachstellen finden sich im ALSA-Audio-Code. Ende Dezember haben die Linux-Entwickler potenzielle Zugriffe außerhalb vorgesehener Speicherbereiche durch den ALSA-USB-Support für Extigy- und Mbox-Geräte behoben. Manipulierte Geräte konnten zuvor manipulierte Werte zurückliefern, deren weitere Nutzung zu solchen Zugriffen außerhalb der Speichergrenzen etwa bei der Ausführung der Funktion usb_destroy_configuration und offenbar der Ausführung eingeschleusten Codes führt (CVE-2024-53197, kein CVSS).

Auch die zweite angegriffene Lücke findet sich im ALSA-Stack (Advanced Linux Sound Architecture). Bei der Suche nach Clock-Sources können Lesezugriffe außerhalb der Speichergrenzen auftreten, da der USB-Audio-Treiber-Code die Länge der Struktur bLength von Clock-Deskriptoren nicht geprüft hatte. Manipulierte Geräte können hier Werte übergeben, die die Schwachstelle auslösen (CVE-2024-53150, CVSS 7.8, Risiko "hoch"). Auch diese Schwachstelle wurde in diversen Kernel-Zweigen rund um die vergangenen Weihnachten ausgebessert.

Aufgrund der Schwachstellenbeschreibung lässt sich erahnen, dass Angreifer möglicherweise verwundbare Systeme übernommen haben, indem sie daran arbeitenden Personen manipulierte USB-Hardware untergeschoben haben. Es ist jedoch nicht auszuschließen, dass der verwundbare Code auf anderen Wegen angesprungen werden kann. Da jedwede konkreten Hinweise zu den beobachteten Angriffen fehlen, lässt sich nicht ableiten, wie attackierte Systeme zu erkennen sind.

Aktualisierte Kernel sind seit Ende vergangenen Jahres verfügbar. IT-Verantwortliche sollten sicherstellen, auf Rechnern und weitere Hardware mit Linux-Kerneln, etwa NAS-Systemen, aktuellere Kernel-Versionen einzusetzen und bereitstehende Aktualisierungen zügig anzuwenden.

Sicherheitslücken missbrauchen Angreifer auf diversen Systemen. So musste Microsoft am April-Patchday Schwachstellen in den Windows-Betriebssystemen ausbessern, die ebenfalls bereits in freier Wildbahn von Kriminellen attackiert wurden.

(dmk)