Linux Kernel 権限昇格の脆弱性で悪用の可能性（CVE-2024-1086）

2024年5月30日　アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁（CISA）はLinux Kernelで権限昇格の脆弱性（CVE-2024-1086）で悪用の可能性があり、米国内の政府機関へ6月20日までパッチ適用するよう命じました。

脆弱性：CVE-2024-1086の内容

Linux カーネルの netfilter: nf_tables コンポーネントの use-after-free 脆弱性を悪用すると、ローカル権限の昇格が可能になります。
nft_verdict_init() 関数は、フック判定内でドロップ エラーとして正の値を許可します。
そのため、NF_ACCEPT に似たドロップ エラーで NF_DROP が発行されると、nf_hook_slow() 関数によって二重解放脆弱性が発生する可能性があります。

脆弱性はバージョン5.14以降から6.6までのLinux カーネルが稼働する主要なディストリビューションが対象で、UbuntuやDebianなども対象になります。

Netfilterとは

Netfilterは、パケットフィルタリング、ネットワークアドレス変換、およびポート変換を容易にするために、カスタムハンドラーの形でさまざまなネットワーク関連操作を実装することを可能にするLinux カーネルのフレームワークです。

エクスプロイトPOC 動画

以下はニックネーム「Notselwyn」のセキュリティ研究者がGitHubへ投稿したエクスプロイトのPOCの動画です。

パッチは2024年1月～２月にリリース済み

以下バージョンでバックポートされています。

• v5.4.269以降
• v5.10.210以降
• v6.6.15以降
• v4.19.307以降
• v6.1.76以降
• v5.15.149以降
• v6.7.3以降

パッチ適用が出来ない場合

CISAはパッチが適用できない際の対処方法について以下としています。

・「nf_tables」を必要でない場合やあまり使用していない場合はブロックリストに追加
・攻撃対象領域を制限するために、ユーザー名前空間へのアクセスを制限
・Linux Kernel Runtime Guard ( LKRG ) モジュールをロードします (不安定になる可能性あり)

知ると面白い記事

XZ Utilsにバックドアが仕込まれていた (CVE-2024-3094)

Google Play(グーグルプレイ)でマルウェアが混入されたアプリが550万回ダウンロードされる

Open AI「ロシアや中国がChatGPTやAIモデルを利用し世論工作」 さらに「福島批判」記事も

チェックポイント（Check Point）がゼロデイ攻撃に利用されていた脆弱性を修正（ CVE-2024-24919）

ランサムウェア 事例|被害の内容をランサムウェアの種類や企業別に解説