Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Docker 04.06.2026 · 4 min Lesezeit

CVE‑2022‑0492: CISA warnt vor aktiv ausgenutztem Container-Escape im Linux-Kernel

CISA hat CVE-2022-0492 in den KEV-Katalog aufgenommen: Die Linux-Kernel-Schwachstelle im cgroups-v1-Subsystem ermöglicht einen Container-Escape mit anschließender Root-Eskalation auf dem Host. Kaspersky meldete aktive Angriffe auf Container-Umgebungen kurz vor der Warnung.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Gebrochener Container mit rotem Warnsignal symbolisiert einen Container-Escape-Angriff

Die US-Behörde CISA hat am 2. Juni 2026 die Linux-Kernel-Schwachstelle CVE-2022-0492 in ihren Known Exploited Vulnerabilities-Katalog (KEV) aufgenommen. Hintergrund ist eine von Kaspersky gemeldete aktive Ausnutzung der Lücke in Container-Umgebungen. Die Schwachstelle im cgroups-v1-Subsystem des Linux-Kernels erlaubt es einem Angreifer, der bereits Zugriff auf einen Container hat, die Namespace-Isolation zu durchbrechen und auf dem Host-System Root-Rechte zu erlangen. Der CVSS-Score beträgt 7.8 (High). US-Bundesbehörden waren per Binding Operational Directive 22-01 verpflichtet, bis zum 5. Juni 2026 zu patchen oder die betroffene Software außer Betrieb zu nehmen.

Die Schwachstelle im Detail

CVE-2022-0492 liegt in der Funktion cgroup_release_agent_write() des cgroups-v1-Subsystems des Linux-Kernels. Über diesen Mechanismus können Container-Prozesse unter bestimmten Bedingungen den release_agent-Pfad beschreiben – eine Funktion, die eigentlich dazu dient, nach dem Beenden von cgroup-Prozessen Aufräumarbeiten auszuführen. Gelingt es einem Angreifer, diesen Pfad zu manipulieren, kann er beliebige Befehle mit Root-Rechten auf dem Host-System ausführen. Dies stellt einen vollständigen Container-Escape dar.

Kaspersky veröffentlichte am 1. Juni 2026 auf Securelist eine Analyse zu Container-Angriffsvektoren, in der CVE-2022-0492 als aktiv ausgenutzter Angriffsvektor in Container-Umgebungen genannt wurde. SecurityWeek und BleepingComputer berichteten am 3. Juni 2026 unabhängig voneinander über die aktive Ausnutzung und die CISA-Warnung. CISA hatte die Schwachstelle bereits am 2. Juni 2026 offiziell in den KEV-Katalog aufgenommen – gemeinsam mit CVE-2025-48595, einer Integer-Overflow-Schwachstelle im Android-Framework.

Bin ich betroffen?

Betroffen sind Linux-Kernel-Versionen 2.6 bis 4.20 sowie 5.5 bis 5.17, sofern diese noch cgroups v1 nutzen. Konkret gefährdet sind:

  1. Docker-Umgebungen, die auf einem der genannten Kernel-Versionen laufen und keine AppArmor-, SELinux- oder Seccomp-Profile verwenden
  2. Kubernetes-Cluster mit betroffenen Node-Kerneln und fehlendem Pod-Security-Hardening
  3. LXC-Container auf älteren Linux-Distributionen

Container, die mit AppArmor, SELinux oder Seccomp gehärtet sind, sind vor diesem Angriff geschützt. cgroups v2 ist von der Schwachstelle nicht betroffen, da das release_agent-Feature dort nicht mehr existiert.

Zur Überprüfung der aktiven cgroup-Version auf einem Linux-Host kann folgender Befehl genutzt werden:

stat -fc %T /sys/fs/cgroup/

Gibt der Befehl cgroup2fs zurück, ist cgroups v2 aktiv. Der Rückgabewert tmpfs weist auf cgroups v1 hin. Zur Überprüfung der installierten Kernel-Version:

uname -r

Grundlegende Absicherungsmaßnahmen für Linux-Server – darunter der Einsatz von ufw und fail2ban – beschreibt die Anleitung Linux-Server absichern mit ufw und fail2ban auf s-edv.com.

Wie behebe ich das?

Die folgenden Maßnahmen sind in aufsteigender Nachhaltigkeit zu empfehlen:

  1. Sofortmaßnahme: AppArmor, SELinux oder Seccomp für alle Container aktivieren. Diese Mechanismen blockieren den Exploit-Pfad zuverlässig, ohne dass ein Kernel-Update erforderlich ist.
  2. Kurzfristig: Den Kernel-Patch einspielen. Für alle gängigen Distributionen (Debian, Ubuntu, RHEL, SUSE) sind Patches seit 2022 verfügbar. Ein reguläres Systemupdate reicht aus, sofern die Distribution aktuell gepflegt wird:
# Debian/Ubuntu
apt update && apt upgrade linux-image-$(uname -r)

# RHEL/CentOS/AlmaLinux
dnf update kernel
  1. Mittelfristig: Migration auf cgroups v2. Dies ist die nachhaltigste Lösung, da das verwundbare release_agent-Feature in cgroups v2 vollständig entfernt wurde. Moderne Distributionen (ab Ubuntu 22.04, Debian 11, RHEL 9) verwenden standardmäßig cgroups v2.

Wer Docker-Umgebungen mit sicherem Netzwerk-Setup betreibt, findet ergänzende Hinweise in der Anleitung Docker-Netzwerke und Volumes verstehen sowie im Einstieg Docker Compose: Grundlagen und Stacks.

Was bedeutet das für Unternehmen?

Die Aufnahme in den CISA-KEV-Katalog ist ein klares Signal: CVE-2022-0492 wird aktiv ausgenutzt – nicht nur theoretisch. Für Unternehmen, die Container-Infrastruktur auf älteren Linux-Kerneln mit cgroups v1 betreiben, ergibt sich ein erhebliches Risiko: Ein Angreifer, der in einen Container eingedrungen ist – etwa über eine kompromittierte Anwendung oder eine Schwachstelle in einer genutzten Container-Image-Schicht – kann auf den Host-Server ausbrechen und dort vollständige Root-Kontrolle übernehmen. Damit ist nicht nur der betroffene Container, sondern die gesamte Host-Infrastruktur gefährdet.

Besonders kritisch ist die Situation für Umgebungen ohne aktives Security-Hardening: Wer Docker-Container ohne AppArmor-Profile oder Seccomp-Richtlinien betreibt und noch keinen Kernel-Update-Zyklus etabliert hat, ist akut exponiert. Die unabhängige Berichterstattung von SecurityWeek und BleepingComputer sowie die offiziellen Bestätigungen durch CISA und Kaspersky unterstreichen die Relevanz des Vorfalls für den DACH-Raum.

Unternehmen sollten die betroffenen Systeme unverzüglich inventarisieren, Kernel-Versionen prüfen und – sofern ein sofortiges Update nicht möglich ist – zumindest AppArmor oder Seccomp als Sofortschutz aktivieren. Die Migration auf cgroups v2 sollte mittelfristig auf der Roadmap stehen.

Quellen

  1. SecurityWeek: Organizations Warned of Exploited Linux Kernel Vulnerability (3. Juni 2026)
  2. BleepingComputer: CISA warns of active attacks exploiting Android, Linux bugs (3. Juni 2026)
  3. CISA: Adds Two Known Exploited Vulnerabilities to Catalog (2. Juni 2026)
  4. Kaspersky Securelist: Containers on fire – container escapes and supply chain attacks (1. Juni 2026)
  5. NVD/NIST: CVE-2022-0492 Detail (CVSS 7.8 HIGH)
  6. CVEFeed.io: CISA KEV-Katalog – CVE-2022-0492
  7. SC World: CISA adds Android and Linux kernel flaws to exploited vulnerabilities catalog
Verwandt

Weiter lesen

Alle Artikel →
Warn-Infografik zum Miasma-Supply-Chain-Angriff mit kompromittierten Red-Hat-npm-Paketen, Diebstahl von Zugangsdaten und Geheimnissen auf Entwicklerrechnern sowie möglicher Ausbreitung über CI/CD- und Softwarelieferketten.
03.06.2026 ·3 min

Miasma-Supply-Chain-Angriff: Red-Hat-npm-Pakete mit Credential-Stealer kompromittiert

Wiz Research deckt einen massiven Supply-Chain-Angriff auf npm-Pakete der @redhat-cloud-services-Namespace auf. Die Malware Miasma stiehlt Cloud-Zugangsdaten, GitHub-Token und SSH-Schlüssel und kann Heimverzeichnisse löschen. Betroffene Organisationen müssen sofort alle Credentials rotieren.
Infografik zu Traefik als Docker-Reverse-Proxy mit automatischem HTTPS, mit Docker-Containern, Routing über Hostnamen, Let's-Encrypt-Zertifikaten, Port 80 und 443 sowie dynamischer Service-Erkennung per Docker-Labels.
02.06.2026 ·12 min

Traefik als Docker-Reverse-Proxy mit automatischem HTTPS

So richtest du Traefik per Docker Compose als Reverse-Proxy mit automatischem Let's-Encrypt-HTTPS ein: mit copy-paste-fertiger compose.yaml, Docker-Auto-Discovery über Container-Labels, ACME-Resolver (HTTP-01 und DNS-01), abgesichertem Dashboard, Middlewares sowie Update- und Backup-Workflow.
Infografik zur richtigen Nutzung von Docker-Netzwerken und Volumes, mit Container-Kommunikation über Bridge-Netzwerke, isolierten Diensten, persistenten Daten und benannten Volumes.
02.06.2026 ·12 min

Docker-Netzwerke und Volumes richtig nutzen

Container finden sich nicht und Daten sind nach dem Neustart weg? Diese Anleitung zeigt Schritt für Schritt, wie du Docker-Netzwerke und Volumes richtig nutzt: user-defined Bridge mit DNS, Ports veröffentlichen vs. interne Kommunikation, Named Volumes vs. Bind-Mounts, Backup per tar, UID/GID-Fallen.