はじめに
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Linuxカーネルの重大な脆弱性「CVE-2024-1086」を既知の悪用されている脆弱性(KEV)カタログに追加し、脅威アクターがこの脆弱性を利用して世界中の組織を標的としたランサムウェアキャンペーンを積極的に展開していると警告しました。この脆弱性は、Linuxベースのシステムにとって重大な脅威であり、サイバーセキュリティチームによる即時の対応が求められます。
CVE-2024-1086の技術的詳細
CVE-2024-1086は、Linuxカーネル内のnetfilter: nf_tablesコンポーネントに影響を与えるuse-after-freeの脆弱性です。この種のセキュリティ上の弱点は、関連するメモリが解放された後もプログラムがメモリポインタを使用し続けることで発生します。これにより、攻撃者はメモリ割り当てを操作し、特権昇格を伴う任意のコード実行を可能にする可能性があります。
この脆弱性は、脅威アクターがローカルでの特権昇格を達成し、侵害されたシステムへの不正な管理者アクセスを許可することを可能にします。CVE-2024-1086は、use-after-freeの条件を具体的に扱う一般的な脆弱性列挙であるCWE-416に分類されます。これらの脆弱性は、セキュリティ制御を回避し、標準ユーザーアカウントからルートまたは管理者レベルに特権を昇格させるために悪用される可能性があるため、特に危険です。
ランサムウェアキャンペーンでの悪用
CISAがCVE-2024-1086を「ランサムウェアキャンペーンで悪用されていることが知られている」と指定したことは、この脅威の深刻さを強調しています。サイバー犯罪グループは、この脆弱性の悪用を攻撃チェーンに組み込み、Linuxシステムへの初期アクセスを獲得した後に特権を昇格させるための重要なステップとして利用しています。
パケットフィルタリングとネットワークアドレス変換を処理するnetfilterサブシステムにこの脆弱性が存在することは、ネットワークトラフィックを操作したり、セキュリティメカニズムを無効にしたりする必要がある攻撃者にとって特に価値があります。ランサムウェアオペレーターは通常、フィッシング、認証情報の窃盗、またはインターネットに公開されている脆弱性の悪用を通じて初期の足がかりを確立した後、CVE-2024-1086を悪用します。ネットワーク内で限られたユーザー権限を得た後、攻撃者はこのカーネル脆弱性を利用してルートアクセスを獲得し、エンドポイント保護ソフトウェアを無効にし、複数のシステムで重要なファイルを暗号化し、被害組織に身代金支払いを要求します。
推奨される緩和策
CISAは、Linuxシステムを運用する組織に対し、「ベンダーの指示に従って緩和策を適用するか、緩和策が利用できない場合は製品の使用を中止する」という明確なガイダンスを発行しました。この指示は、影響を受けるシステムへの即時パッチ適用の極めて重要な重要性を強調しています。
組織は、Red Hat Enterprise Linux、Ubuntu、Debian、SUSE、またはその他のLinuxディストリビューションを使用しているかどうかにかかわらず、Linuxカーネルバージョンをベンダーが提供する最新のセキュリティリリースに更新することを優先すべきです。CVE-2024-1086がCISAのKEVカタログに含まれていることは、連邦政府機関がBinding Operational Directive 22-01に基づき、指定された期間内にカタログ化された脆弱性に対処しなければならないという追加の重要性を持っています。しかし、セキュリティ専門家は、すべての組織が、セクターや規模に関係なく、確認されたアクティブな悪用のため、KEVリストに掲載された脆弱性を最優先で扱うことを推奨しています。
CISAは、KEVカタログを、組織が脆弱性をより適切に管理し、実際の脅威活動に基づいて修復作業を優先するのに役立つ信頼できるリソースとして維持しています。ネットワーク防御者は、悪用の兆候を包括的に監視し、特権昇格の異常な試行がないかシステムログを確認し、すべてのLinuxカーネルインストールがパッチ適用済みのバージョンに更新されていることを確認する必要があります。ネットワークセグメンテーションや厳格なアクセス制御を含む多層防御戦略は、エンタープライズ環境全体にパッチが展開されている間、悪用の成功による影響を最小限に抑えるのに役立ちます。