Microsoft と米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は最近、Linux カーネルの新たなセキュリティ脆弱性について警告を発し、この問題は Ubuntu、Red Hat、SUSE、Debian、Fedora、Arch Linux、Amazon (AWS) Linux を含む多数の主流ディストリビューションに影響を与える可能性があり、関係するデバイスの数は数百万台に達する可能性があると述べました。
この脆弱性には CVE-2026-31431 の番号が付けられ、CVSS スコアは 7.8 です。これは、CISA の「悪用された既知の脆弱性」ディレクトリにリストされています。CISA は、これが悪意のある攻撃者にとって一般的な攻撃ベクトルであり、連邦政府機関やより広範な企業環境に重大なリスクをもたらすと考えています。
CISAは勧告の中で、これは「Linuxカーネルが異なるセキュリティドメイン間でリソースを誤って転送する」脆弱性であると指摘した。悪用されると、ローカル権限がルート レベルに昇格される可能性があります。この種のローカルでの特権昇格は、これらのディストリビューションに基づく高度にコンテナ化されたマルチテナントのワークロード環境では特に危険です。攻撃者がシステムへの最初のアクセスを取得すると、分離をさらに突破してノード全体を制御する機会が生じるためです。
Red Hat は先月、この問題についてより詳細な技術的説明を提供するセキュリティ勧告を発行しました。発表によると、この脆弱性はLinuxカーネルのalgif_aead暗号化アルゴリズムインターフェースに存在するという。誤った「インプレース操作」実装の導入により、ソース データとターゲット データのメモリ マッピングが矛盾します。その結果、暗号化操作中に予期しない動作やデータの整合性の問題が発生し、暗号化通信の信頼性に影響を与える可能性があります。
Microsoft のセキュリティ研究者は、カーネル暗号化サブシステムの論理欠陥をさらに追跡し、2017 年に導入された AF_ALG フレームワークに基づく algif_aead モジュールの最適化に問題が集中していることを指摘しました。当時の「インプレース最適化」により、カーネルは特定の暗号化操作を実行するときにソース メモリを宛先バッファとして誤って再利用していました。攻撃者は、AF_ALG ソケット インターフェイスと splice() システム コール間の相互作用を悪用して、カーネル ページ キャッシュへの制御された 4 バイトの書き込みを実現し、それによって重要なデータ構造を正確に改ざんできます。
研究者らによると、この攻撃プロセスはPythonスクリプトを通じて実装され、/usr/bin/suなどの高権限のバイナリファイル用に変更され、実行時にroot権限で直接実行できるようになるという。競合状態に依存する多くのカーネル悪用とは異なり、この脆弱性の悪用はタイミング競合に依存せず、約 732 バイトの小さなスクリプトを通じて決定論的な方法で安定して再現できます。この脆弱性は、ほとんど変更を加えずにさまざまな主要なディストリビューションで悪用できるため、権限昇格の「信頼性が高い」手段とみなされます。
クラウド コンピューティング環境では、この機能によってもたらされるリスクはさらに拡大します。多くのコンテナは同じホスト カーネルを共有します。基礎となるカーネル バージョンにこの脆弱性が存在すると、単一のコンテナの侵害がノード全体に広がり、完全に乗っ取られる可能性があります。 Microsoftは、攻撃者が最初はSSH経由で低特権ユーザーとしてログインしたり、CI/CDパイプラインで実行機会を得たりするなど、限られたアクセス権しか持っていなかったとしても、この脆弱性がroot権限にエスカレートし、コンテナ境界を突破し、横方向の移動を可能にし、マルチテナント環境の他のワークロードに感染するのに十分な可能性があると警告している。
現在、公に観察されている利用活動は主に概念実証 (PoC) 段階にあり、武器化や大規模な拡散は行われていません。それにもかかわらず、Microsoft は、あらゆる種類の組織が潜在的な悪用の試みや侵害されたシステムを特定できるように、Microsoft Defender XDR を通じて検出シグネチャをリリースしました。またマイクロソフトは、リスクを根本的に排除するために、各リリースで対応するパッチが提供された後、できるだけ早くカーネルの更新を完了するようセキュリティ チームに要請しています。
パッチが完全に適用されるまで、Microsoft は、影響を受ける関連暗号化機能を一時的に無効にすることや、攻撃対象領域の露出を減らすために AF_ALG ソケットの作成を防止することなど、一連の緩和策を講じることを推奨しています。さらに、アクセス制御ポリシーを強化して、システム上で任意のコードを実行できるアカウントの範囲を制限する必要があります。また、ネットワーク分離を使用して、単一侵害点の後に内部環境に横方向に拡散する可能性を低減する必要があります。疑わしい兆候のあるノードの場合、ログ監査や動作検出と組み合わせた迅速な復旧と再構築も、長期的なリスクを軽減する重要な手段です。
