出典:Alamy Stock Photoを通じてValerly Kachaev
Linuxカーネルに影響を与える9年前の脆弱性に対して、公開されたエクスプロイトが利用可能になり、root権限昇格への道が開かれました。実際には2つの脆弱性が連鎖した欠陥は、以前に発見されたLinux欠陥のDirty PipeおよびCopy Failと同じクラスですが、これらの問題とは異なるカーネルデータ構造に影響を与えます。
セキュリティ研究者のHyunwoo Kimが「Dirty Frag」という名称の欠陥を公開し、先週X上でプルーフオブコンセプト(PoC)エクスプロイトを公開しました。この脆弱性はUbuntu、Red Hat Enterprise Linux(RHEL)、CentOS Stream、AlmaLinux、openSUSE Tumbleweed、Fedoraを含む広範なLinuxディストリビューションに影響を与えており、これらのいずれもまだ完全にパッチが当たっていません。
実際のところ、Dirty Fragが既に限定的に悪用されている兆候があります。ただし、攻撃者がDirty FragまたはCopy Failを標的にしたのかは不明です。Microsoft Defender Security Research Teamによると、「Microsoft Defenderは現在、「su」に関する権限昇格が観察される限定的な野生での活動を目にしており、これは「Dirty Frag」または「Copy Fail」に関連するテクニックを示唆している可能性があります」と金曜日に公開されたブログ投稿に記載されています。
この欠陥を悪用すると、許可なく保護されたシステムファイルをメモリ内で変更でき、侵害されたシステム上で権限昇格につながります。Dirty Fragを構成する2つの欠陥はCVE-2026-43284およびCVE-2026-43500として追跡されており、どちらもRed Hatによって7.8のCVSSスコアと「重要」の重大度影響が割り当てられています。
ハンドルネーム「V4bel」で知られるKimのGitHubポストによると、Dirty Fragは2つの別個のカーネル欠陥を連鎖させて機能します。xfrm-ESP Page-Cache Write脆弱性とRxRPC Page-Cache Write脆弱性で、保護されたシステムファイルをメモリ内で許可なく変更し、権限昇格を実現します。
以前のLinuxカーネルバグの範囲を拡張
実はCopy Fail欠陥がKimにDirty Fragの発見につながった研究を探索するよう最初に刺激を与えたとのことです。Dirty FragはCopy FailやDirty Pipeとは異なるLinuxカーネルの側面に影響を与えるだけでなく、より広い範囲を持っており、したがってより危険である可能性が高いと彼はGitHubポストで述べています。
「特に、Dirty Frag脆弱性チェーンのxfrm-ESP Page-Cache WriteはCopy Failと同じシンクを共有しています」と彼は説明し、それはまたDirty PipeおよびCopy Failのバグクラスを拡張していると付け加えています。
これは「タイミングウィンドウに依存しない決定的なロジックバグであり、競合状態は必要なく、エクスプロイトが失敗したときカーネルはパニックにならず、成功率は非常に高い」ためです」と彼は書きました。
つまり、組織がCopy Failの軽減策を適用していても、「あなたのLinuxはまだ「Dirty Frag」に対して脆弱です」とKimはXに投稿しました。彼は次のLinuxシステムで成功裏にDirty Fragエクスプロイトをテストしました:Ubuntu 24.04.4: 6.17.0-23-generic; RHEL 10.1: 6.12.0-124.49.1.el10_1.x86_64; openSUSE Tumbleweed: 7.0.2-1-default; CentOS Stream 10: 6.12.0-224.el10.x86_64; AlmaLinux 10: 6.12.0-124.52.3.el10_1.x86_64; Fedora 44: 6.19.14-300.fc44.x86_64。
Dirty Fragの仕組み
Red Hatは先週Dirty Fragの発見とエクスプロイトの公開を認め、その中で問題の技術的側面を説明しました。欠陥は「Linuxカーネル内のIPsec ESP(esp4/esp6)およびrxrpcモジュールの2つの異なる問題を指す」とRed Hatによると述べています。
IPsecは暗号化されたネットワーク通信を提供し、VPNおよびサイト間トンネルで一般的に使用されていますが、rxrpcモジュールはRxRPCプロトコルを実装し、分散ネットワークファイルシステムであるAndrew File System(AFS)を支えています。
Dirty Frag、Dirty PipeおよびCopy Failのように、Linuxカーネルのページキャッシュメモリ書き込みの処理における弱点を含みます。Linuxカーネルは速度のためにページキャッシュを使用してRAMにファイルコンテンツを保持します。特定のカーネルサブシステムは、キャッシュされたメモリページ上で「その場で」暗号化またはネットワーキング操作を実行します。
Dirty Fragはこれらのページキャッシュ操作の欠陥を悪用し、攻撃者がメモリバックアップされたデータ構造を不適切に変更できるようにします。これらの書き込みは保護されたシステムデータを変更し、権限をrootまで昇格させるために活用できます。
Linux Kernel Organizationは既に金曜日にCVE-2026-43284を修正するためのパッチをリリースしており、これはディフェンダーに迅速に適用するよう促されていますが、CVE-2026-43500のパッチはまだ利用できません。
Red HatおよびLinuxディストリビューションの他の主要管理者はDirtyFragの独自の修正を準備しています。Red Hatは勧告に従って修正のリリースを加速させており、一方Canonical Ubuntuは金曜日に公開されたブログ投稿に従ってUbuntuのLinuxカーネルイメージパッケージを通じて修正が配布されると述べています。SuseLinux管理者もカーネル更新とライブパッチを準備していると述べています。
躊躇せず、軽減を
その間に、影響を受けるLinuxバージョンを使用しているエンタープライズが講じることができるDirty Fragを軽減するための多くのステップがあります。これらの軽減策には、運用可能な場所で未使用のrxrpcカーネルモジュールを無効にすること。esp4、esp6、および関連するxfrm/IPsec機能を安全に一時的に無効にできるかどうかを評価する。不要なローカルシェルアクセスを制限する。コンテナ化されたワークロードをハードニングする。異常な権限昇格活動の監視を増加させることが含まれます。Microsoft Defenderによると述べています。
さらに、「ローカルアクセスを制限するハードニング対策は、悪用のリスク軽減に役立ちます」とRed Hatによると、SSHを無効にする、SELinuxが強制モードにあることを確認する、デフォルトセキュリティコンテキスト制約(SCC)を使用する、ワークロードを非rootとして実行する、「oc debug」アクセスを信頼できるクラスター管理者に制限することが含まれます。
それでも、単一のアクセス方法を無効にしても、ユーザーがローカルアクセスを獲得できる他のすべての手段は排除されないとRed Hatによると述べています。これは、影響を受けた組織も、適切なベンダーまたはディストリビューション管理者がそれらをリリースするとすぐにカーネルパッチ配置を優先すべきであることを意味します。
