米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2026年6月2日、CVE-2022-0492をKnown Exploited Vulnerabilities(KEV)カタログに追加し、深刻度の高いLinuxカーネルの不正認証に関する脆弱性が実際の攻撃で悪用されていることを正式に確認しました。
この脆弱性のCVSSスコアは7.8(High)で、cgroups v1のrelease_agentメカニズムを通じて、ローカル権限昇格およびコンテナの完全脱出が可能となります。
CVE-2022-0492は、kernel/cgroup/cgroup-v1.c内のcgroup_release_agent_write関数に存在する論理的なバグです。この脆弱性はCWE-287(不正認証)およびCWE-862(認可の欠如)に分類されています。
cgroups v1のrelease_agent機能は、コントロールグループが空になった際にクリーンアッププログラムを実行するよう設計されています。しかし、初期ユーザー名前空間において必要な権限チェックが欠如しているため、攻撃者は任意の悪意あるファイルパスを書き込むことができます。
cgroupが空になると、カーネルはそのバイナリをホスト上でルート権限で実行し、コンテナの隔離境界を事実上破壊してしまいます。
悪用を成功させるには、標的システム上で特定の環境条件が重なる必要があります。コンテナがrootとして、またはno_new_privsフラグなしで実行されており、AppArmor・SELinux・Seccompがすべて無効化されていることが条件となります。
さらに、ホストがcgroups v1で動作していることも条件の一つです。cgroups v1は古いLinuxディストリビューションでは依然として主流の構成です。なお、v2ではrelease_agent機能自体が削除されているため、cgroups v2で動作しているシステムはまったく影響を受けません。
影響を受けるのは、すべてのLTSブランチでLinuxカーネルバージョン5.17-rc3未満のシステムで、Red Hat Enterprise Linux 8.x、Fedora 35、Ubuntu 14.04 ESM〜22.04 LTS、Debian 9.0〜11.0が含まれます。
cgroups v1ホスト上でDocker・Kubernetes・LXCを実行するコンテナオーケストレーションプラットフォームも直接影響を受けるほか、最新のカーネルアップデートが適用されていないレガシーエンタープライズサーバー、組み込みLinuxシステム、IoTデバイスも対象となります。
CISAは2026年6月2日にCVE-2022-0492をKEVカタログへ追加し、BOD 22-01のコンプライアンス要件に基づき、連邦文民行政機関(FCEB)に対して2026年6月5日を修正期限として設定しました。
ランサムウェアキャンペーンとの関連は現時点で「不明」とされています。ただし、KEV指令の迅速さと緊急性は、パッチ未適用のLinuxインフラを標的とする組織的な脅威アクターによる実際の悪用が進行中であることを強く示唆しています。
各組織は以下の多層防御アプローチを用いて、直ちに対応を開始してください。
翻訳元: https://cyberpress.org/exploited-linux-kernel-authentication-flaw/
