概要
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は木曜日、Linuxカーネルにおける高深刻度の権限昇格の脆弱性が、現在ランサムウェア攻撃で悪用されていることを確認しました。この脆弱性は、攻撃者がローカルアクセス権を持つ場合に、標的システム上で権限を昇格させ、最終的にルートレベルのアクセス権を取得する可能性を秘めています。
脆弱性の詳細 (CVE-2024-1086)
この脆弱性は「CVE-2024-1086」として追跡されており、netfilter: nf_tablesカーネルコンポーネントにおけるuse-after-freeの欠陥として2024年1月31日に開示されました。興味深いことに、この脆弱性は2014年2月の10年前のコミットで初めて導入され、2024年1月に提出されたコミットによって修正されました。
Immersive Labsによると、この脆弱性が悪用された場合、以下のような深刻な影響が考えられます。
- ルートアクセス取得後のシステム乗っ取り(防御の無効化、ファイルの変更、マルウェアのインストールなど)
- ネットワークを介した横方向の移動
- データ窃盗
2024年3月下旬には、「Notselwyn」というエイリアスを使用するセキュリティ研究者が、GitHub上でCVE-2024-1086を標的とした詳細な解説と概念実証(PoC)エクスプロイトコードを公開しました。これにより、Linuxカーネルバージョン5.14から6.6の間でローカル権限昇格を達成する方法が示されました。この欠陥は、Debian、Ubuntu、Fedora、Red Hatなど、カーネルバージョン3.15から6.8-rc1を使用する多くの主要なLinuxディストリビューションに影響を与えます。
ランサムウェア攻撃での悪用
CISAは、野放しで悪用されている脆弱性のカタログに対する木曜日の更新で、この欠陥が現在ランサムウェアキャンペーンで使用されていることを明らかにしましたが、進行中の悪用試行に関する詳細情報は提供しませんでした。CISAは2024年5月にこのセキュリティ欠陥を「既知の悪用されている脆弱性(KEV)」カタログに追加し、連邦政府機関に対し、2024年6月20日までにシステムを保護するよう命じていました。
緩和策
パッチ適用が不可能な場合、IT管理者は以下のいずれかの緩和策を適用することが推奨されています。
- 「nf_tables」が不要または積極的に使用されていない場合は、ブロックリストに追加する。
- 攻撃対象領域を制限するために、ユーザー名前空間へのアクセスを制限する。
- Linux Kernel Runtime Guard(LKRG)モジュールをロードする(ただし、これによりシステムの不安定性を引き起こす可能性がある)。
CISAは、「これらの種類の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦政府機関に重大なリスクをもたらします」と述べ、「ベンダーの指示に従って緩和策を適用するか、緩和策が利用できない場合は製品の使用を中止してください」と警告しています。