Linuxカーネルのプロセストレース(ptrace)パスにおける9年前からの論理的欠陥が発見されました。この欠陥により、権限のないローカルユーザーが、Debian、Fedora、Ubuntuのデフォルトインストール環境で、セキュアシェルホスト(SSH)の秘密鍵やシステムパスワードハッシュを含む機密ファイルを読み取ることができます。
Qualys Threat Research Unit(TRU)の新しい分析によると、CVE-2026-46333として追跡されているこの脆弱性は、2016年11月からLinuxメインラインに存在しています。アップストリームパッチとディストリビューションのアップデートが利用可能であり、機能するエクスプロイトが公開されて流通しています。
この欠陥は、Copy Fail、Dirty Frag、Fragnesia に続く、3週間で開示された4番目のLinuxカーネルローカルセキュリティ問題です。
認証情報削除時のレース
バグはカーネルの__ptrace_may_access()関数に存在しています。Qualysは、認証情報を削除している特権プロセスが、dumpableフラグがそのパスを閉じているべきであるにもかかわらず、ptrace操作を通じて到達可能なままである狭いウィンドウを特定しました。
このウィンドウをpidfd_getfd()システムコールと組み合わせることで、攻撃者はsetuidバイナリの終了中にファイルディスクリプタをキャプチャし、基礎となるファイルへのアクセスを継承できます。pidfd_getfd()は2020年1月にカーネルに追加され、古い欠陥の実用的なリーチを広げました。
Qualysによって開発された概念実証(PoC)はssh-keysignをターゲットにしており、これは認証署名中にSSHホスト秘密鍵をしばらく開いたままにするsetuidバイナリです。2番目のバリアントはchageをターゲットにし、/etc/shadowへのオープンハンドルを盗み、ホスト上のすべてのユーザーのパスワードハッシュを暴露します。
Linuxカーネルローカル権限昇格の欠陥についてもっと読む:新しいFragnesia欠陥がLinuxローカルユーザーにRoot アクセスを提供
Qualys TRUはpkexecとaccounts-daemonに対する機能するエクスプロイトも開発し、調整されたディスクロージャーウィンドウ期間中、4つすべてを公開で保留しました。
Qualys TRUのシニアマネージャーであるSaeed Abbasiは、この技術は「任意のローカルシェルをルートまたは機密認証資料へのパスに変える」と述べました。
影響、リスク プロファイル、および軽減策
Qualysが開発した4つのエクスプロイトは、様々な影響に及んでいます。chageとssh-keysignエクスプロイトは情報開示をもたらし、pkexecとaccounts-daemonは攻撃者がrootとして任意のコマンドを実行することを可能にします。
CVSSはバグを5.5と評価しましたが、Qualysは、開示されたファイルだけでシステムを乗っ取るのに十分であるため、権限のないフットホールドと完全なホスト侵害の違いが実際には崩れると主張しました。
リスク プロファイルは、共有ホスティングとマルチテナントCIランナーを含む、信頼できないパーティに権限のないシェルが通常利用可能な環境で最も鋭いです。
管理者は、遅延なく自分のディストリビューション用のベンダーカーネルアップデートを適用する必要があります。暫定的な軽減策として、UbuntuとQualysの両方は、kernel.yama.ptrace_scopeをsysctl経由で2に上げることを推奨しており、これはCAP_SYS_PTRACEの背後でptrace接続をゲートし、権限のないデバッグワークフローを壊すことの代償として、公開エクスプロイトパスをブロックします。
翻訳元: https://www.infosecurity-magazine.com/news/linux-kernel-ptrace-flaw-ssh-keys/
