Mobile-Menu

Alte Linux-Schwachstelle wird erneut aktiv ausgenutzt Ransomware-Gruppen nutzen Linux-Schwachstelle: CISA schlägt Alarm

Von Paula Breukel 3 min Lesedauer

Anbieter zum Thema

FAST LTA GmbH
FTAPI Software GmbH

Eine Kernel-Sicherheitslücke aus 2024 taucht plötzlich wieder in An­griffs­ketten auf. Die CISA bestätigt die aktive Ausnutzung der Linux-Schwach­stelle und setzt US-Behörden unter Zeitdruck. Was bedeutet das für Unternehmen hierzulande?

CVE-2024-1086 wird seit Oktober 2025 nachweislich in aktiven Angriffen ausgenutzt; betroffen sind zahlreiche Linux-Distributionen mit Kernel-Versionen unter 6.1.77.(Bild: Midjourney / Paula Breukel / KI-generiert)
CVE-2024-1086 wird seit Oktober 2025 nachweislich in aktiven Angriffen ausgenutzt; betroffen sind zahlreiche Linux-Distributionen mit Kernel-Versionen unter 6.1.77.
(Bild: Midjourney / Paula Breukel / KI-generiert)

Eine eigentlich „abgehakte“ Linux-Sicherheitslücke sorgt plötzlich für unmittelbare Gefahr: CVE-2024-1086 (CVSS-Score 7.8) beschreibt einen Use-after-Free-Fehler im netfilter-Modul des Kernels und wird nachweislich in Ransomware-Angriffen eingesetzt. Die US-Cybersecurity and Infrastructure Security Agency (CISA) hat die Schwachstelle Ende Oktober in ihren KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen und damit bestätigt, dass Angreifer sie aktiv einsetzen, um ungepatchte Linux-Systeme zu übernehmen.

Die Sicherheitsbranche sollte schnell reagieren. Lange galt die Schwachstelle als bekannt, aber sie ist beherrschbar. Anfang 2024 wurde CVE-2024-1086 offengelegt, Patches standen schnell bereit, ein Proof-of-Concept-Code kursierte zwar in Untergrundforen, doch echte Angriffe blie­ben zunächst die Ausnahme. Das hat sich nun geändert.

Warum wird die Schwachstelle jetzt zum Risiko?

Die neue Relevanz hat einen klaren Auslöser: In realen Incident-Response-Fällen, vor allem im dritten Quartal 2025, tauchte CVE-2024-1086 plötzlich als fester Bestandteil von Angriffsketten auf. Ransomware-Gruppen nutzen die Schwachstelle gezielt als zweiten Schritt nach dem Erst­zugang, oft nach Phishing oder gestohlenen Zugangsdaten.

Ein Angreifer mit lokalem Zugriff kann den Fehler im netfilter-Modul ausnutzen, um sich Root-Rechte zu verschaffen. Genau diese Kombination beobachtet die CISA derzeit in Kampagnen gegen US-Organisationen aus dem Gesundheitswesen, dem Finanzsektor und cloudbasierten Produktionsumgebungen. So können Verteidigungsmechanismen umgangen und Ver­schlüs­sel­ungs-Operationen vorbereitet werden und das weitgehend unbemerkt von Monitoring-Systemen.

Wer ist betroffen – und warum so viele?

Brisant ist vor allem der große Kreis potenziell verwundbarer Systeme. Betroffen sind zahl­reiche Linux-Distributionen mit Kernel-Versionen zwischen 3.15 und 6.1.76, darunter Ubuntu 20.04 und 22.04, Red Hat Enterprise Linux 8 und 9 sowie Debian 11 und 12. Viele dieser Versionen laufen nach wie vor in produktiven Rechenzentren, in hybriden Cloud-Landschaften oder in sensiblen IT-Umgebungen wie Kliniken oder Finanzinfrastrukturen.

Gerade langfristig betriebene Systeme oder Appliances wurden oft nicht auf Kernel 6.1.77 oder neuer aktualisiert. Deshalb stößt die Sicherheitslücke heute auf ein Ökosystem, in dem ältere Linux-Versionen immer noch weit verbreitet sind und somit für Angreifer ein attraktives Ziel bieten.

Was bedeutet das für Unternehmen?

Die CISA verpflichtet US-Behörden, bis zum 20. November zu patchen oder betroffene Systeme vom Netz zu nehmen. Auch wenn diese Vorgaben offiziell nur für die amerikanische Regierung gelten, versteht die Branche solche KEV-Einträge längst als Signale mit globaler Bedeutung.

Für Unternehmen heißt das: inventarisieren, patchen und kontrollieren. Sicherheitsteams sollten Kernel-Versionen prüfen, Systeme priorisiert aktualisieren und insbesondere netfilter-basierte Konfigurationen überwachen. Wo ein sofortiges Update nicht möglich ist, empfehlen Expertinnen und Experten zusätzliche Hardening-Maßnahmen, etwa das Deaktivieren des „nf_tables“-Moduls, sofern es nicht zwingend benötigt wird, sowie engmaschige Log-Überwachung für Anzeichen einer Privilegienerweiterung.

Was steckt technisch dahinter?

Die Schwachstelle selbst beruht auf einem klassischen Use-after-Free-Fehler im nf_tables-Subsystem des Kernels. Beim Löschen bestimmter Tabellen bleibt ein Pointer aktiv, obwohl der Speicher bereits freigegeben wurde. Angreifer können diesen Zustand gezielt provozieren und nutzen, um eigenen Code auszuführen und damit vollständige Kontrolle über das System zu erlangen.

Die Schwachstelle ist damit ein Beispiel für die Risiken, die entstehen, wenn ältere Kernel-Versionen in Infrastrukturen weiterbetrieben werden, selbst dann, wenn Patches längst bereitstehen.

CVE-2024-1086 im Überblick

Merkmal Inhalt
CVE-ID CVE-2024-1086
Art der Schwachstelle Use-after-Free im netfilter: nf_tables
Risiko (CVSS 3.1) 7.8, hoch
Auswirkung Lokale Privilegienerweiterung bis zu Root-Rechten
Betroffene Kernel-Versionen 3.15 bis 6.1.76
Betroffene Distributionen Unter anderem Ubuntu 20.04 und 22.04; RHEL 8 und 9; Debian 11 und 12
Exploit-Status laut CISA Seit 31.10.2025 aktiv ausgenutzt
Empfohlene Maßnahmen Kernel-Update ≥ 6.1.77; nf_tables nur bei Bedarf verwenden; Logs überprüfen

(ID:50614882)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte