最近パッチが適用されたLinuxカーネルのrxgkモジュール内のローカル権限昇格脆弱性が、一部のLinuxシステムで攻撃者がroot権限を取得できるようにする概念実証利用コードを持つようになりました。
DirtyDecryptと名付けられ、DirtyCBCとしても知られているこのセキュリティフローは、今月初めにV12セキュリティチームによって独立して発見・報告されましたが、メンテナーから既にメインラインでパッチが当たっている重複であることを知らされました。
「2026年5月9日に発見・報告しましたが、メンテナーから重複であることを知らされました」とV12は述べた。「rxgk_decrypt_skbのCOWガード不足によるrxgk pagecacheライトです。詳細はpoc.cを参照してください。」
このセキュリティフローに正式なCVE IDは割り当てられていませんが、Tharrosの主要脆弱性アナリストであるWill Dormannによると、セキュリティ研究者からの情報は4月25日にパッチが当たったCVE-2026-31635の詳細と一致しています。
成功した悪用には、CONFIG_RXGK設定オプションを有効にしたLinuxカーネルを実行する必要があります。このオプションはAndrew File System(AFS)クライアントおよびネットワークトランスポート用のRxGKセキュリティサポートを有効にします。
これはFedora、Arch Linux、openSUSE Tumbleweedを含む、最新のアップストリームカーネルリリースに密接に従うLinuxディストリビューションに攻撃対象を限定します。ただし、V12の概念実証利用コードはFedoraおよびメインラインLinuxカーネルに対してのみテストされています。
DirtyDecryptは、最近数週間に公開された他のいくつかのroot権限昇格脆弱性と同じ脆弱性クラスに属しており、Dirty Frag、Fragnesia、およびCopy Failを含みます。
DirtyDecryptの影響を受ける可能性があるディストリビューションのLinuxユーザーは、できるだけ早く最新のカーネル更新をインストールすることをお勧めします。
ただし、すぐにデバイスにパッチを当てることができない場合は、Dirty Fragに使用される同じ軽減策を使用する必要があります(ただし、これはIPsec VPNおよびAFS分散ネットワークファイルシステムも破壊します):
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"これらの公開は、攻撃者が現在Copy Fail脆弱性を積極的に悪用しているという最近の報告に続いています。
サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)は5月1日にCopy FailをCodefailに追加した攻撃で悪用されている脆弱性のリストに追加し、連邦機関に対して5月15日までの2週間以内にLinuxデバイスを保護するよう命じました。
「このタイプの脆弱性は悪意あるサイバーアクターの頻繁な攻撃ベクトルであり、連邦政府部門に対して重大なリスクをもたらします」と米国のサイバーセキュリティ庁は警告しました。
4月に、Linuxディストリビューションがパッチをリリースした別のroot権限昇格脆弱性(Pack2TheRootと呼ばれている)はPackageKitデーモンにあり、ほぼ12年間気付かれていませんでした。
検証ギャップ:自動ペネトレーションテストは1つの質問に答えます。あなたは6つが必要です。
自動ペネトレーションテストツールは実際の価値をもたらしますが、1つの質問に答えるために構築されました:攻撃者がネットワークを通過できるか?それらは、コントロールが脅威をブロックするか、検出ルールが発動するか、クラウド構成が保持されるかをテストするために構築されていません。
このガイドは、実際に検証する必要がある6つの表面をカバーしています。
