Linux Kernel 権限昇格の脆弱性で悪用の可能性(CVE-2024-1086)
2024年5月30日 アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)はLinux Kernelで権限昇格の脆弱性(CVE-2024-1086)で悪用の可能性があり、米国内の政府機関へ6月20日までパッチ適用するよう命じました。
脆弱性:CVE-2024-1086の内容
Linux カーネルの netfilter: nf_tables コンポーネントの use-after-free 脆弱性を悪用すると、ローカル権限の昇格が可能になります。
nft_verdict_init() 関数は、フック判定内でドロップ エラーとして正の値を許可します。
そのため、NF_ACCEPT に似たドロップ エラーで NF_DROP が発行されると、nf_hook_slow() 関数によって二重解放脆弱性が発生する可能性があります。
脆弱性はバージョン5.14以降から6.6までのLinux カーネルが稼働する主要なディストリビューションが対象で、UbuntuやDebianなども対象になります。
Netfilterとは
Netfilterは、パケットフィルタリング、ネットワークアドレス変換、およびポート変換を容易にするために、カスタムハンドラーの形でさまざまなネットワーク関連操作を実装することを可能にするLinux カーネルのフレームワークです。
エクスプロイトPOC 動画
以下はニックネーム「Notselwyn」のセキュリティ研究者がGitHubへ投稿したエクスプロイトのPOCの動画です。
パッチは2024年1月~2月にリリース済み
以下バージョンでバックポートされています。
- v5.4.269以降
- v5.10.210以降
- v6.6.15以降
- v4.19.307以降
- v6.1.76以降
- v5.15.149以降
- v6.7.3以降
パッチ適用が出来ない場合
CISAはパッチが適用できない際の対処方法について以下としています。
・「nf_tables」を必要でない場合やあまり使用していない場合はブロックリストに追加
・攻撃対象領域を制限するために、ユーザー名前空間へのアクセスを制限
・Linux Kernel Runtime Guard ( LKRG ) モジュールをロードします (不安定になる可能性あり)
知ると面白い記事