はじめに
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Linuxカーネルの重大な脆弱性(CVE-2024-1086)を「既知の悪用されている脆弱性(KEV)」カタログに追加し、脅威アクターが世界中の組織を標的としたランサムウェアキャンペーンでこの脆弱性を積極的に悪用していると警告しました。この脆弱性はLinuxベースのシステムに深刻な脅威をもたらし、サイバーセキュリティチームによる早急な対応が求められます。
CVE-2024-1086の詳細
CVE-2024-1086は、Linuxカーネル内のnetfilter: nf_tablesコンポーネントに影響を与えるUse-After-Free(解放済みメモリ使用)の脆弱性です。この種のセキュリティ上の弱点は、プログラムが解放されたメモリへのポインタを使い続けることで発生し、攻撃者がメモリ割り当てを操作して、昇格された権限で任意のコードを実行する可能性を許します。この脆弱性により、脅威アクターはローカルでの権限昇格を達成し、侵害されたシステムへの不正な管理者アクセスを獲得できます。
この脆弱性は、Use-After-Freeの条件を具体的に示す一般的な脆弱性列挙であるCWE-416に分類されます。これらの脆弱性は、セキュリティ制御を回避し、標準ユーザーアカウントからrootまたは管理者レベルに権限を昇格させるために悪用される可能性があるため、特に危険です。攻撃者が昇格された権限を取得すると、ランサムウェアペイロードを展開したり、機密データを窃取したり、永続的なアクセスを確立したり、侵害されたインフラ全体でその他の悪意のある活動を実行したりできます。
ランサムウェア攻撃での悪用
CISAがCVE-2024-1086を「ランサムウェアキャンペーンで悪用されていることが確認されている」と指定したことは、脅威の深刻さを強調しています。サイバー犯罪グループは、この脆弱性の悪用を攻撃チェーンに組み込み、Linuxシステムへの初期アクセスを獲得した後に権限を昇格させるための重要なステップとして利用しています。パケットフィルタリングとネットワークアドレス変換を処理するnetfilterサブシステムにこの脆弱性が存在することは、ネットワークトラフィックを操作したりセキュリティメカニズムを無効にしたりする必要がある攻撃者にとって特に価値があります。
ランサムウェアオペレーターは通常、フィッシング、認証情報の窃取、またはインターネットに公開されている脆弱性の悪用を通じて初期の足がかりを確立した後、CVE-2024-1086を悪用します。限られたユーザー権限でネットワークに侵入した後、攻撃者はこのカーネル脆弱性を利用してrootアクセスを獲得し、エンドポイント保護ソフトウェアを無効にしたり、複数のシステムで重要なファイルを暗号化したり、被害組織に身代金を要求したりします。
緩和策とCISAのガイダンス
CISAは、Linuxシステムを運用する組織に対し、「ベンダーの指示に従って緩和策を適用するか、緩和策が利用できない場合は製品の使用を中止する」という明確なガイダンスを発行しました。この指示は、影響を受けるシステムに直ちにパッチを適用することの極めて重要な重要性を強調しています。組織は、Red Hat Enterprise Linux、Ubuntu、Debian、SUSE、またはその他のLinuxディストリビューションを使用しているかどうかにかかわらず、Linuxカーネルバージョンをベンダーが提供する最新のセキュリティリリースに更新することを優先すべきです。
CVE-2024-1086がCISAのKEVカタログに含まれたことは、連邦機関がBinding Operational Directive 22-01に基づき、カタログ化された脆弱性に指定された期間内に対応しなければならないという点で、さらなる重要性を持っています。しかし、セキュリティ専門家は、セクターや規模に関係なく、すべての組織がKEVリストに掲載された脆弱性を、実際の脅威活動に基づいて最優先で扱うことを推奨しています。
CISAは、KEVカタログを、組織が脆弱性をより適切に管理し、実際の脅威活動に基づいて修復作業を優先順位付けするのに役立つ信頼できるリソースとして維持しています。このカタログは、CSV、JSON、印刷ビューなど複数の形式で利用でき、脆弱性管理プラットフォームやセキュリティ情報およびイベント管理システムとの統合が可能です。組織は、KEVカタログを脆弱性管理フレームワークへの重要な入力として組み込み、悪用されている脆弱性が理論上の脅威よりも先に直ちに注意を払われるようにすべきです。
ネットワーク防御者への推奨事項
ネットワーク防御者は、悪用の兆候を包括的に監視し、異常な権限昇格の試行がないかシステムログを確認し、すべてのLinuxカーネルインストールがパッチ適用済みのバージョンに更新されていることを確認する必要があります。ネットワークセグメンテーションや厳格なアクセス制御を含む多層防御戦略は、エンタープライズ環境全体にパッチが展開される間、悪用の成功による影響を最小限に抑えるのに役立ちます。