サイバーセキュリティ・インフラセキュリティ庁(CISA)は、2026年3月3日にQualcommチップセットの重大な脆弱性を既知の悪用脆弱性(KEV)カタログに追加し、野生下での積極的な悪用を確認しました。
CVE-2026-21385として追跡されているこの欠陥は、複数のQualcommチップセットに影響を及ぼし、攻撃者が影響を受けたデバイスを侵害するために利用できる深刻なメモリ破損リスクをもたらします。
脆弱性の概要
この脆弱性は、複数のQualcommチップセット全体のメモリ割り当てアライメント操作中に発生する整数オーバーフロー条件(CWE-190)に由来します。
チップセットが特定のメモリアライメント要求を処理するとき、不適切な検証により整数値がオーバーフローし、隣接するメモリ領域が破損します。
このような欠陥により、脅威アクターが任意のコードを実行したり、権限を昇格させたり、ターゲットシステムを不安定にしたりすることができます。Qualcommチップセットが広く展開されているモバイル、組み込み、およびIoT環境では特に危険です。
Qualcommプロセッサは、世界中の数億台のAndroidスマートフォン、タブレット、自動車システム、および接続デバイスを動力として、この脆弱性の攻撃面を大幅に広げています。
| フィールド | 詳細 |
|---|---|
| CVE ID | CVE-2026-21385 |
| ベンダー/製品 | Qualcomm / 複数のチップセット |
| 脆弱性タイプ | メモリ破損 |
| CWE | CWE-190(整数オーバーフロー又は周回) |
| KEV追加日 | 2026年3月3日 |
| 修復期限 | 2026年3月24日 |
| ランサムウェア使用 | 不明 |
| CISA対応 | ベンダーの軽減策を適用または製品の使用を中止 |
CISAがこの欠陥をKEVカタログに含めたことは、脅威アクターが実際の攻撃でCVE-2026-21385を積極的に悪用していることを確認しています。
現在のところランサムウェアキャンペーンへの関与は不明ですが、このクラスのメモリ破損脆弱性は、権限昇格、リモートコード実行チェーン、および永続的なデバイス侵害のために頻繁に武器化されています。
Qualcommチップセットの広範な展開により、これは国家支援行為者とサイバー犯罪グループの両者にとって魅力的なターゲットになります。
軽減と推奨されるアクション
CISAは、すべての連邦民間行政部門(FCEB)機関が、拘束力のある運用指令(BOD)22-01に沿って、2026年3月24日までにこの脆弱性を修復することを命じています。
CISAは、すべての組織が以下のステップを直ちに実施することを推奨しています:
- パッチを適用Qualcommが公式の軽減策またはファームウェア更新をリリースしたらすぐに
- BOD 22-01ガイダンスに従う影響を受けたチップセットを使用するクラウドベースのサービスについて
- 使用を中止軽減策がない場合は影響を受けた製品の
- デバイスを監視Qualcommチップセットを実行しているデバイスの異常な動作または不正なメモリアクセス試行について
- CISA KEVカタログの更新を購読する新たに悪用された脆弱性について常に最新の情報を得るために
Qualcomm対応インフラストラクチャに依存している組織は、CISAによって確認された積極的な悪用状態を考慮して、これを優先度の高い修復項目として扱うべきです。
翻訳元: https://gbhackers.com/cisa-warns-qualcomm-chipsets-memory-corruption-vulnerability/
