CVE-2024-1086: Linuxカーネルにおける重大な権限昇格の脆弱性

分析

CVE-2024-1086は、影響を受けるシステムでローカル攻撃者がルート権限を獲得できるLinuxカーネルのnetfilter（nf_tables）コンポーネントにおける重大なローカル権限昇格の脆弱性です。これは、2014年頃に導入されたuse-after-free/double-freeバグで、高い深刻度スコアを持ち、実際の攻撃での悪用が観測されています。

調査

この欠陥は、nf_tables内のnft_verdict_init()ロジックに起因します：nf_hook_slow()を介したフックと組み合わせた細工されたエラーメッセージが、パケット構造のdouble-freeを引き起こし、カーネルメモリの破損と権限昇格を招きます。多くのカーネルバージョン（特に5.14から6.6以降）での成功した悪用を示す概念実証コードが公開されており、特に非特権ユーザーネームスペースが有効な場合にランサムウェアキャンペーンに悪用されています。

緩和策

管理者は、影響を受けるLinuxカーネルを修正済みのバージョンにアップグレードし、double-free条件を解消すべきです。一時的な緩和策としては、非特権ユーザーネームスペースを無効にすること（sysctl -w kernel.unprivileged_userns_clone=0）や、/etc/sysctl.d/を介してその変更を恒久化することです。追加の措置としては、ローカルアクセスの制限、ネームスペースを作成できるユーザーの制限、および異常なルートシェルやほかのカーネル妥協の兆候の監視が含まれます。

応答

疑わしい悪用を高優先度のホスト妥協として扱い、影響を受けるシステムを隔離し、カーネルログと持続性の完全なフォレンジック分析を実行し、資格情報を変更し、横移動を探索してください。脆弱なホストのパッチ適用を迅速化するか、更新できないシステムの退役を検討してください。nf_tablesのメモリ破損の指標および関連する悪用試行をカバーするために検出および探索ルールを更新してください。