Eine Schwachstelle im Linux-Kernel, die erstmals 2017 bekannt wurde – bekannt als der „Copy Fail“-Bug – ist immer noch auf Servern vorhanden, die viele Kryptowährungsbörsen und Wallet-Dienste betreiben, und löst diese Woche erneute Cybersicherheitsalarme aus. Der Fehler, der eine Privilegieneskalation durch eine Race Condition in der Copy-on-Write-Speicherverwaltung ermöglicht, kann einem Angreifer die vollständige Kontrolle über ein Zielsystem geben, wenn er zusammen mit einem lokalen Zugriffsvektor ausgenutzt wird. Obwohl der Bug vor Jahren gepatcht wurde, warnen Sicherheitsforscher, dass unzählige Produktionssysteme weiterhin ungepatcht sind, was digitale Asset-Plattformen potenziellem Diebstahl oder Datenkompromittierung aussetzt.
Der Fehler, der nicht stirbt
Unter der Bezeichnung CVE-2017-1000112 verfolgt, wurde der Bug von einem Google-Forscher entdeckt und schnell in den gängigen Linux-Distributionen behoben. Aber in der Praxis war das Patchen inkonsistent. Viele Krypto-Unternehmen betreiben benutzerdefinierte Kernel oder verlassen sich auf Langzeitunterstützungsversionen, die nicht immer rechtzeitig Updates erhalten. Die Schwachstelle nutzt die Speicherverwaltung des Kernels aus, um Container-Beschränkungen zu umgehen oder von einem Benutzer mit niedrigen Privilegien zu Root zu eskalieren. Für eine Kryptowährungsbörse bedeutet das, dass ein Angreifer, der einen API-Schlüssel oder eine Webanwendung kompromittiert, dann auf den zugrunde liegenden Server zugreifen und Hot Wallets leeren oder die Handelslogik manipulieren könnte.
Warum Krypto-Server ein Ziel sind
Die Blockchain-Infrastruktur stützt sich stark auf Linux – es ist das Betriebssystem der Wahl für Node-Betreiber, Mining-Pools und Börsen-Backends. Der „Copy Fail“-Bug ist besonders gefährlich in Multi-Tenant-Umgebungen wie gehosteten Wallet-Diensten oder cloudbasierten Handelsplattformen, wo eine kompromittierte virtuelle Maschine auf benachbarte Instanzen übergreifen könnte. Forscher mehrerer Sicherheitsfirmen haben das Problem in diesem Jahr in privaten Branchenbriefings thematisiert und darauf hingewiesen, dass eine bemerkenswerte Anzahl von auditierten Krypto-Setups immer noch Kernel ausführt, die älter als der Patch von 2017 sind.
Was Betreiber tun sollten
Es gibt keine neue Lösung – das Heilmittel ist seit Jahren verfügbar. Das Problem ist die Übernahme. Börsen- und Wallet-Betreiber werden aufgefordert, ihre Serverflotte sofort zu auditieren und die Kernel-Versionen mit der CVE-Datenbank abzugleichen. Viele werden feststellen, dass sie in Ordnung sind; einige werden entdecken, dass sie eine Zeitbombe betreiben. Die Langzeitunterstützungs-Kernel der Linux Foundation enthalten den Patch, aber benutzerdefinierte Builds oder Legacy-Distributionen lassen ihn oft aus. Red Hat, Debian und Ubuntu haben die Lösung vor Jahren zurückportiert, aber nur, wenn das System seit Ende 2017 aktualisiert wurde. Eine manuelle Überprüfung mit dem Befehl „uname -r“ und der Abgleich mit den betroffenen Versionen des CVE ist der empfohlene erste Schritt.
Keine neue Schwachstelle, das gleiche alte Risiko
Die „Copy Fail“-Geschichte ist keine Zero-Day-Panik. Sie ist eine Erinnerung daran, dass sich Infrastrukturschulden im Krypto-Bereich schnell ansammeln, wo die Geschwindigkeit der Markteinführung oft die Sicherheitshygiene übertrumpft. Mehrere Blockchain-Sicherheitsauditoren haben Kunden privat mitgeteilt, dass das Patchen dieses alten Bugs ihre oberste Empfehlung für dieses Quartal ist. Ob die Branche zuhört, hängt davon ab, wie viele Börsen einen sieben Jahre alten Kernel-Bug als echte Bedrohung und nicht nur als theoretische betrachten. Der nächste konkrete Schritt: Erwarten Sie in den kommenden Wochen mehr öffentliche Hinweise von Sicherheitsteams, die nach ungepatchten Systemen suchen.
