CISAは木曜日、Linuxカーネルの重大な権限昇格脆弱性が現在ランサムウェア攻撃で悪用されていることを確認しました。

この脆弱性（CVE-2024-1086として追跡）は、2024年1月31日にnetfilter: nf_tablesカーネルコンポーネントのuse-after-freeの弱点として公開され、2024年1月に提出されたコミットによって修正されましたが、最初は2014年2月の10年前のコミットによって導入されました。

攻撃者がローカルアクセスを持っている場合、標的システム上で権限を昇格させることができ、侵害されたデバイスでrootレベルのアクセスを得る可能性があります。

Immersive Labsが説明しているように、rootアクセスが得られるとシステムの乗っ取り（防御の無効化、ファイルの改ざん、マルウェアのインストールなど）、ネットワーク内での横移動、データ窃取などの影響が考えられます。

2024年3月下旬、’Notselwyn’という別名のセキュリティ研究者が、CVE-2024-1086をターゲットとした詳細な解説記事と概念実証（PoC）エクスプロイトコードをGitHubで公開し、Linuxカーネルバージョン5.14から6.6でローカル権限昇格を達成する方法を示しました。

この脆弱性は、Debian、Ubuntu、Fedora、Red Hatなどの主要なLinuxディストリビューション（カーネルバージョン3.15から6.8-rc1を使用）に影響します。

ランサムウェア攻撃で悪用されたと警告

米国サイバーセキュリティ庁は、野外で悪用されている脆弱性カタログの木曜日の更新で、この脆弱性がランサムウェアキャンペーンで使用されていることが判明したと述べましたが、進行中の悪用試行に関する詳細は提供しませんでした。

CISAはこのセキュリティ脆弱性を2024年5月に既知の悪用済み脆弱性（KEV）カタログに追加し、連邦機関に対し2024年6月20日までにシステムを保護するよう命じました。

パッチ適用が不可能な場合、IT管理者は以下のいずれかの緩和策を講じることが推奨されます：

1. ‘nf_tables’が不要または積極的に使用されていない場合はブロックリストに追加する
2. 攻撃対象領域を制限するためにユーザー名前空間へのアクセスを制限する
3. Linux Kernel Runtime Guard（LKRG）モジュールをロードする（ただし、これによりシステムの不安定化が生じる可能性があります）

「この種の脆弱性は悪意あるサイバー攻撃者による頻繁な攻撃経路となっており、連邦組織に重大なリスクをもたらします」とCISAは述べています。「ベンダーの指示に従って緩和策を適用するか、緩和策が利用できない場合は製品の使用を中止してください。」