概要
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は木曜日、Linuxカーネルにおける高 severity の権限昇格の脆弱性(CVE-2024-1086)が、現在ランサムウェア攻撃に悪用されていることを確認しました。
脆弱性の詳細
この脆弱性(CVE-2024-1086)は、2024年1月31日にnetfilter: nf_tablesカーネルコンポーネントにおけるuse-after-freeの欠陥として開示され、同月に修正されました。しかし、その根本原因は2014年2月のコミットにまで遡る、10年来の欠陥でした。
攻撃の影響
攻撃者がこの脆弱性を悪用することに成功すると、ローカルアクセスを持つ攻撃者がターゲットシステム上で権限を昇格させ、最終的にルートレベルのアクセス権を取得する可能性があります。Immersive Labsによると、潜在的な影響には以下が含まれます。
- ルートアクセス取得後のシステム乗っ取り(防御の無効化、ファイルの変更、マルウェアのインストール)
- ネットワークを通じたラテラルムーブメント
- データ窃盗
概念実証(PoC)と影響範囲
2024年3月下旬には、「Notselwyn」というセキュリティ研究者が、GitHub上でCVE-2024-1086を標的とした詳細な解説と概念実証(PoC)エクスプロイトコードを公開しました。このPoCは、Linuxカーネルバージョン5.14から6.6でローカル権限昇格を達成する方法を示しています。この脆弱性は、Debian、Ubuntu、Fedora、Red Hatなど、カーネルバージョン3.15から6.8-rc1を使用する多くの主要なLinuxディストリビューションに影響を与えます。
CISAによる警告と対策
CISAは、この脆弱性がランサムウェアキャンペーンで悪用されていることを「Known Exploited Vulnerabilities (KEV)」カタログに追加し、連邦機関に対し2024年6月20日までにシステムを保護するよう命じました。
パッチ適用が不可能な場合、IT管理者は以下の緩和策を適用することが推奨されています。
- 「nf_tables」が不要な場合はブロックリストに追加する
- 攻撃対象領域を制限するためにユーザー名前空間へのアクセスを制限する
- Linux Kernel Runtime Guard(LKRG)モジュールをロードする(ただし、システム不安定性を引き起こす可能性がある)
CISAは、「これらの種類の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦政府機関に重大なリスクをもたらす」と述べ、ベンダーの指示に従って緩和策を適用するか、緩和策が利用できない場合は製品の使用を中止するよう促しています。