米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、CVE-2022-0492として追跡されているLinuxカーネルの脆弱性が活発に悪用されているとして、組織に対し新たな警告を発しました。
この脆弱性は不適切な認証の問題として分類されており、cgroups v1のrelease_agent機能を使用するLinuxシステムに影響します。攻撃者は侵害された環境において権限昇格を行える可能性があります。
Linuxカーネルのセキュリティ上の欠陥
CISAによると、この脆弱性は2026年6月2日に既知の悪用された脆弱性(KEV)カタログへ正式に追加されており、実際の悪用リスクの高さが改めて示されています。
拘束的運用指令(BOD)22-01のもと、連邦機関および関係組織は2026年6月5日までにこの問題を修正することが義務付けられています。同指令は、脅威アクターに積極的に悪用されている脆弱性を速やかに緩和するよう求めています。
CVE-2022-0492は、Linuxカーネルのcgroups v1サブシステムにおける不適切な認証制御に起因しています。攻撃者はrelease_agentメカニズムを悪用することで、昇格した権限で任意のコードを実行できます。
この脆弱性は、リソースの分離と管理にcgroupsが広く使われているコンテナ化環境において特に深刻な脅威となります。悪用に成功した脅威アクターはコンテナの制限を突破し、ホストシステムでroot権限を取得することが可能です。
この脆弱性はCWE-287(不適切な認証)およびCWE-862(認証の欠如)に分類されており、根本的なアクセス制御の欠陥を示しています。セキュリティ研究者たちはすでに、システムへのアクセスが限られた攻撃者でもこの脆弱性を悪用してコンテナから脱出できることを実証しており、クラウドネイティブやKubernetesベースのインフラにとって重大なリスクとなっています。
CISAはCVE-2022-0492が現時点で特定のランサムウェアキャンペーンに関連しているかどうかを確認していませんが、KEVカタログへの登録は実環境での積極的な悪用を強く示唆しています。
歴史的に見ても、権限昇格を可能にする脆弱性は、ランサムウェアの運営者がポスト侵害フェーズにおいてネットワーク全体への支配を拡大するために頻繁に利用されてきました。
影響を受けるLinuxカーネルバージョンを使用する組織は、ベンダーが提供するパッチを直ちに適用することを強く推奨します。パッチ適用が困難な環境では、非特権ユーザー名前空間の無効化、cgroups v1へのアクセス制限、可能であればcgroups v2への移行といった緩和策の実施が求められます。また、コンテナの不審な動作や権限昇格の試みを継続的に監視することも推奨されています。
CISAはさらに、特にハイブリッド環境やクラウドネイティブアーキテクチャに展開されているシステムについて、BOD 22-01に示されたクラウド固有のガイダンスへの準拠を組織に促しています。緩和策を効果的に適用できない場合は、リスクへの露出を低減するために脆弱なシステムの使用を停止することが必要になる場合もあります。
エンタープライズサーバー、クラウドプラットフォーム、コンテナ化されたワークロードを問わずLinuxが広く普及している現状を踏まえると、CVE-2022-0492は現代のインフラに対する重大な脅威といえます。セキュリティチームは修正作業を最優先とし、潜在的な悪用の試みを検知するためのメカニズムを確実に整備する必要があります。
翻訳元: https://gbhackers.com/cisa-issues-alert-on-linux-kernel-security-flaw/
