米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、CVE-2024-1086というLinuxカーネルの重大な脆弱性について緊急警告を発令しました。このuse-after-freeの欠陥は、ハッカーがランサムウェアを展開するために積極的に悪用しており、影響を受けるシステムで攻撃者がrootレベルの特権をエスカレートさせることを可能にします。世界中の組織は脅威を軽減するため、直ちにパッチを適用するよう強く促されています。
この脆弱性はCVE-2024-1086として追跡されており、Linuxカーネルのnetfilterコンポーネント、特にnf_tablesサブシステムにおけるuse-after-freeの問題です。ローカル特権昇格を可能にし、初期アクセスを持つ攻撃者がroot特権を取得し、侵害されたマシンの完全な制御を獲得できるようにします。CWE-416に分類されるこの欠陥は、nft_verdict_init()やnf_hook_slow()などの関数での不適切なメモリ処理に起因し、カーネル空間でのメモリ破損と任意のコード実行を引き起こします。
2014年にLinuxカーネルに最初に導入されたCVE-2024-1086は、バージョン3.15から6.8 rc1までを影響し、Debian、Ubuntu、Fedora、Red Hatなどの主要ディストリビューションに影響を及ぼします。2024年1月にパッチがリリースされ、2024年5月にCISAのKnown Exploited Vulnerabilitiesカタログに追加されました。セキュリティ企業CrowdStrikeは2024年4月に最初に悪用試行を検知し、公のエクスプロイトコードがオンラインで出現した後、リスクをクリティカルと評価しました。
ランサムウェア運営者は、この欠陥を攻撃チェーンに統合してエンドポイント保護を無効化し、ファイルを暗号化し、バックアップを削除し、ネットワーク全体で横方向移動を行っています。この脆弱性が広く使用されるLinuxシステムに存在することは、エンタープライズ環境、クラウドインフラ、データセンターのリスクを高めます。CISAは連邦民間執行部門機関に対し、パッチ適用または影響を受けるシステムの使用中止を義務付け、すべての組織に対しKEVカタログに基づく脆弱性管理の優先を推奨しています。
ネットワーク防御者はLinuxシステムの棚卸しを行い、脆弱なカーネルを特定し、更新を適用し、特権昇格や異常なカーネル活動の兆候をログで確認する必要があります。この積極的な悪用は、ランサムウェア展開とデータ漏洩を防ぐための迅速な行動の必要性を強調しています。