米サイバーセキュリティ機関CISAは火曜日、コンテナエスケープを引き起こすLinuxカーネルの脆弱性が実際に悪用されているとして、各組織に警告を発しました。
CVE-2022-0492(CVSSスコア7.8)として追跡されているこの問題は、不適切な認証の脆弱性として分類されており、攻撃者が権限を昇格させ、名前空間の分離を回避できる可能性があります。
この脆弱性は、プロセスグループが使用できるOSリソースを指定するLinuxカーネルの制御グループ機能「cgroups」に存在します。制御グループにはバージョンが2つありますが、影響を受けるのはcgroups v1のみです。
cgroupsは名前空間と組み合わせることで、プロセスの分離や特定リソースへのアクセス制限に活用できるため、コンテナ作成において欠かせない機能となっています。
この脆弱性により、任意のユーザーがcgroup階層のルートに存在するrelease_agentファイルを変更できる状態になります。このファイルは、cgroupが空になった際のcgroup v1の通知メカニズムの一環として、cgroupの名前空間内でrootとして実行されます。
「これにより、ホストのファイルシステム上に悪意のあるスクリプトを配置し、cgroupの通知プロセスの一部としてrootで実行させることが可能になります。実質的にコンテナエスケープと権限昇格を実現できます」とHackTheBoxは説明しています。
さらに、この脆弱性を利用すると、攻撃者は管理者権限を持つ新しいユーザー名前空間を作成し、悪意のあるrelease_agentファイルを持つcgroupを作成してエクスプロイトを発動させることもできます。
CVE-2022-0492の技術的な詳細はおよそ3年前に公開されていましたが、実際の悪用が報告されたのは今週のことで、CISAの警告の1日前でした。
Kasperskyはコンテナ環境への攻撃を解説したブログ記事の中でCVE-2022-0492の悪用に言及していますが、攻撃者の特定や被害者に関する情報は明らかにしていません。
火曜日、CISAは同CVEを既知の悪用された脆弱性(KEV)カタログに追加し、連邦政府機関に対して6月5日までにパッチを適用するよう求めました。
CISAはまた、AndroidのFrameworkコンポーネントに存在する深刻度の高い脆弱性CVE-2025-48595についても、即時パッチ適用を呼びかけました。Googleは今週この問題を修正し、ゼロデイとして悪用されていたと警告しています。
翻訳元: https://www.securityweek.com/organizations-warned-of-exploited-linux-kernel-vulnerability/
