
Ein TIPC-Modul in allen gängigen Linux-Distributionen lässt sich durch Heap-Overflow-Angriffe ausnutzen, die zu einer Systemübernahme führen können. Ein Update-Patch steht zur Verfügung.
Die Forscher von SentinelLabs, der Research-Abteilung von SentinelOne, haben eine Heap-Overflow-Schwachstelle im TIPC-Modul des Kernels von Linux-Betriebssystemen entdeckt. Die Sicherheitslücke kann entweder lokal oder remote innerhalb eines Netzwerks ausgenutzt werden, um Kernel-Privilegien zu erlangen. Das verwundbare TIPC-Modul ist in allen gängigen Linux-Distributionen enthalten, muss jedoch vom Nutzer geladen werden, um das Protokoll zu aktivieren.
Durch Ausnutzung der Schwachstelle können Angreifer das gesamte System kompromittieren, was zu schwerwiegenden Folgen führen kann. Am 29. Oktober wurde ein Update-Patch veröffentlicht, der das Problem behebt und bei den Kernel-Versionen zwischen 5.10rc-1 und 5.15 zum Einsatz kommt. Bei MITRE wird die Sicherheitslücke unter dem Kürzel CVE-2021-43267 geführt.
Ausnutzung des TIPC-Protokolls
Transparent Inter-Process Communication (TIPC) ist ein Protokoll, das es den Knoten in einem Cluster ermöglicht, effizient zu kommunizieren und dabei fehlertolerant bleibt. Das Protokoll ist in einem Kernelmodul implementiert, das in allen gängigen Linux-Distributionen enthalten ist. Wenn es von einem Benutzer geladen wird, kann es als Socket verwendet und an einer Schnittstelle mit netlink (oder mit dem Userspace-Tool tipc, das diese netlink-Aufrufe ausführt) als unprivilegierter Benutzer konfiguriert werden.
Im September 2020 wurde ein neuer Benutzer-Nachrichtentyp namens MSG_CRYPTO eingeführt, der das Senden und Austauschen von kryptografischen Schlüssel ermöglicht, was den Ursprung der Sicherheitslücke darstellt. Die Möglichkeit der Konfiguration ausgehend aus einer unprivilegierten lokalen Ebene und die Gefahr der Ausnutzung aus der Ferne machen dies zu einer äußerst gefährlichen Schwachstelle für alle, die betroffene Systeme in ihren Netzwerken einsetzen. Besonders besorgniserregend ist, dass ein Angreifer, der diese Schwachstelle ausnutzt, beliebigen Code innerhalb des Kernels ausführen kann, was eine vollständige Kompromittierung des Systems durch Außenstehende zur Folge haben kann.
Disclosure und Gegenmaßnahmen
Am 19. Oktober wurden die Erkenntnisse von SentinelLabs proaktiv gemeldet. Die Sicherheitsforscher haben in Zusammenarbeit mit der Linux Foundation und einem der TIPC-Verantwortlichen einen Patch erstellt, der seit dem 29. Oktober verfügbar ist und seit dem 31. Oktober in aktuellen Linux-Versionen (nach 5.15) bereits vorhanden ist und das Problem behebt.
Da die Sicherheitslücke innerhalb eines Jahres nach ihrer Einführung in die Codebasis entdeckt wurde, sollten TIPC-Benutzer überprüfen, ob ihre Linux-Kernel-Version zwischen 5.10-rc1 und 5.15 liegt und gegebenenfalls ein Update durchführen. Zum jetzigen Zeitpunkt hat SentinelOne keine Hinweise auf erfolgreiche Missbrauchsfälle des Protokolls durch Cyberkriminelle entdeckt.
Weitere technische Details zur Sicherheitslücke sowie Informationen zur Behebung des Problems finden Sie im vollständigen Bericht von SentinelLabs: https://www.sentinelone.com/labs/tipc-remote-linux-kernel-heap-overflow-allows-arbitrary-code-execution/
Fachartikel

Zehn Dinge, die Sie gestern hätten tun müssen, um die NIS2-Vorschriften einzuhalten

Pentera API-Sicherheitsautomatisierung: Erweiterte Anwendungsfälle für Cybersicherheit

Rückblick auf CH4TTER: Erkenntnisse ein Jahr nach der Veröffentlichung des SAP Threat Landscape Reports

Sicherung von SAP BTP – Bedrohungsüberwachung: Erkennung unbefugter Änderungen und Anzeichen für Kompromittierung

Was ist Active Directory-Sicherheit?
Studien

DefTech-Startups: Deutschland kann sich derzeit kaum verteidigen

Gartner-Umfrage: 85 % der CEOs geben an, dass Cybersicherheit für das Unternehmenswachstum entscheidend ist

Studie: Mehrheit der beliebten Chrome-Erweiterungen mit riskanten Berechtigungen

Kubernetes etabliert sich in der Wirtschaft – Neue Studie liefert überraschende Details

Studie zu Cyberangriffen auf Versorgungsunternehmen
Whitepaper

FBI: USA verlieren 2024 Rekordbetrag von 16,6 Milliarden US-Dollar durch Cyberkriminalität

EMEA-Region im Fokus: Systemangriffe laut Verizon-Report 2025 verdoppelt

IBM X-Force Threat Index 2025: Groß angelegter Diebstahl von Zugangsdaten eskaliert, Angreifer wenden sich heimtückischeren Taktiken zu

Kuppinger-Cole-Analyse zeigt: CIAM als Schlüsselelement der digitalen Transformation

Smart Security: IT- und Sicherheitsteams kommen langfristig nicht mehr ohne KI aus
Hamsterrad-Rebell

Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen

Anmeldeinformationen und credential-basierte Angriffe

Vermeiden Sie, dass unbekannte Apps unnötige Gefahren für Ihre Organisation verursachen

Data Security Posture Management – Warum ist DSPM wichtig?
