2025年10月31日、CISAは、Linuxカーネルのnetfilterコンポーネントにおける権限昇格の脆弱性であるCVE-2024-1086が、ランサムウェア・キャンペーンで積極的に悪用されていることを確認しました。このuse-after-free脆弱性は10年以上にわたりLinuxカーネルに存在しており、攻撃者に侵害済みシステム上でroot権限を獲得するための経路を提供します。最初に発見されたのは2024年1月で、Linuxは翌月にパッチを公開しました。しかし、この脆弱性によって特権アクセスを得られるため、攻撃者は依然としてランサムウェア作戦を実行できます。
CVE-2024-1086は脅威アクターにroot権限への経路を開くため、Linuxインフラを持つ組織にとって、その特定とパッチ適用は優先事項であるべきです。この脆弱性は10年間存在しているため、レガシーでほとんど利用されていないシステムが依然として露出している可能性があります。未修正のままでは、CVE-2024-1086はランサムウェア攻撃に対する開かれた攻撃面を生み出します。
本ブログでは、Sysdig Threat Research Team(TRT)によるCVE-2024-1086の調査・分析に基づき、攻撃者がどのようにこの脆弱性を悪用しているのか、そして防御側が先手を打つために何ができるのかを解説します。
CVE-2024-1086の技術分析
脆弱性の詳細
CVE-2024-1086(CVSS 7.8)は、Linuxカーネルのnetfilter(nftables)コンポーネントにあるnft_verdict_init()関数に存在します。脅威は、同関数がverdictパラメータを適切に検証できていないことに起因し、攻撃者がカーネルのメモリ管理でdouble-free状態を引き起こせる点にあります。
この脆弱性は2014年2月のコミットにより導入され、カーネル3.15から6.8-rc1までのバージョンに存在します。緊急にパッチ適用が必要なバージョンは、Debian、Ubuntu、その他のディストリビューションを含むv5.14〜v6.6のLinuxカーネルです。パッチ適用済みとしてリリースされたバージョンは、v5.15.149+、v6.1.76+、v6.6.15+です。
エクスプロイト分析
このエクスプロイトは、特権のないユーザーネームスペースを利用して、double-free脆弱性を含むnf_tablesコンポーネントへアクセスします。 大量のソケットバッファ(SKB)を割り当て、その後、不正に形成されたSKBをnf_tablesに通すことでdouble-free脆弱性をトリガーでき、攻撃者はカーネル内で悪意のあるコードを実行できます。次にエクスプロイトはmodprobe_pathを見つけて上書きし、攻撃者がrootシェルを実行できるようにします。
悪用の前提条件:
- ユーザーネームスペースが有効
- 特権のないユーザーネームスペースにアクセス可能(sysctl kernel.unprivileged_userns_clone = 1)
- nf_tablesモジュールが有効
これらの設定は、DebianやUbuntuを含む主要なエンタープライズ向けディストリビューション、および多くのクラウド最適化イメージでデフォルト有効となっており、攻撃面を大幅に拡大しています。
この脆弱性は、特に次のような環境で懸念されます:
- 特権のないユーザーアカウントを持つマルチテナントLinuxシステム。
- 機能要件としてユーザーネームスペースが必要なコンテナホスト。
- 脆弱性や弱いパスワードを抱えたままインターネットに公開されているLinuxサーバー。
ランサムウェア・キャンペーン
CISAがCVE-2024-1086を「ランサムウェア・キャンペーンで使用されていることが知られている」と分類したことは、その深刻さを強調しています。CISAは悪用を特定のグループに帰属させてはいないものの、この脆弱性はランサムウェア運用者に複数の重要な能力を提供します:
- 侵害後の権限昇格:エクスプロイトにより影響を受けるシステムでroot権限が付与され、完全な管理者権限での制御が可能になります。
- 防御回避:rootアクセスにより、攻撃者はセキュリティツールを無効化し、ログを消去し、永続化を確立できます。
- ラテラルムーブメント:昇格した権限により、環境全体で追加のシステム侵害が可能になります。
活発な悪用のタイミングは、RansomHub、Akira、LockBitといったLinuxを標的とするランサムウェア・グループの増加と一致しています。特にRansomHubは、支配的なRansomware-as-a-Service(RaaS)グループとして台頭しており、エンタープライズ環境を標的とするGoLangベースのLinuxマルウェアを用いて600件超の攻撃を実行しています。
脆弱なサービスや盗まれた認証情報を通じて初期アクセスを得た後、CVE-2024-1086は、システム全体の暗号化およびデータ持ち出し(エクスフィルトレーション)作戦に必要な昇格権限を提供します。2024年3月以降に入手可能な公開の概念実証(PoC)コードにより、比較的中程度のスキルを持つ攻撃者であっても参入障壁が下がっています。
Sysdig SecureによるCVE-2024-1086悪用の検知
Sysdig Secureには、Sysdig Runtime Behavioral Analyticsポリシー内の「Possible Exploitation of Kernel Netfilter Vulnerability (CVE-2024-1086)」ルールにより、CVE-2024-1086をすぐに検知できる機能が組み込まれています。
ランサムウェアの検知も、Malware Detectionポリシーや、一般的なファイル拡張子および身代金要求メモのファイル名を検知するランタイム脅威検知ルール「Ransomware Filenames Detected」など、複数の仕組みによって提供されます。Ransomwareルールは、Sysdig Runtime Threat Detectionポリシーでデフォルト有効になっています。
結論
CVE-2024-1086は重大なセキュリティ脆弱性であり、現在はCISAのKEVカタログにも含まれています。これは初期アクセスからシステム全体の侵害へと橋渡しするもので、ランサムウェア運用者にとって価値が高い脆弱性です。確実な悪用手法、公開PoCコード、そしてLinuxを標的とする高度なランサムウェアが組み合わさることで、脆弱性がパッチ未適用のままであれば、組織に極めて大きなリスクをもたらします。
この脆弱性はroot権限への経路を提供するため、CVE-2024-1086のパッチ適用はすべてのLinuxインフラにおける最優先事項です。10年にわたって存在してきたことは、レガシーで忘れ去られたシステムが依然として露出していることを意味し、ランサムウェア攻撃のための持続的な足掛かりを提供してしまいます。
脆弱性のパッチ適用が主要な防御策である一方、パッチを全面的に適用できるまでの間、悪用の試みを特定して無力化し、侵害後のラテラルムーブメントを検知するためには、堅牢なランタイム脅威検知と対応の能力が不可欠です。
CVE-2024-1086のような重大な脅威に関する継続的な分析と更新情報については、Sysdig Threat Research Teamをフォローしてください。
