フォローする 
Linuxのローカル権限昇格のバグは、制限された足場を完全なrootアクセスに変える場合、特に危険です。CVE-2026-43500の脆弱性はDirty FragエクスプロイトチェーンのRxRPC部分で、Microsoftによると既に限定的な実際のポストコンプロマイズ悪用に関係しており、Qualysはこれを、主要なLinuxディストリビューションで特権をエスカレートできるページキャッシュの書き込み問題として説明しています。
このCVE-2026-43500の分析が重要なのは、Dirty Frag Linuxの脆弱性が騒がしいリモート初期アクセスバグとしてフレーム化されていないためです。代わりに、Microsoftは、SSHアクセス後、ウェブシェル実行後、コンテナエスケープ後、または低権限アカウントの侵害後に使用される可能性があり、攻撃者が既に何らかのコード実行手段を持っている現実の侵入チェーンで非常に関連性が高いと述べています。
Qualysは、Dirty Fragが2つのLinuxカーネルの欠陥、xfrm-ESPのCVE-2026-43284とRxRPCのCVE-2026-43500を組み合わせていることを説明しています。両者の中で、特に注目すべきはCVE-2026-43500の脆弱性であり、ユーザーネームスペースの作成を必要とせず、通常のユーザー権限とadd_key(“rxrpc”, …), socket(AF_RXRPC), socket(AF_ALG), splice(), recvmsg()などの特権なしAPIのみに依存しています。
CVE-2026-43500とCVE-2026-43284の分析
技術的なレベルでは、Dirty Fragはskbフラグメント上のネットワークプロトコルの受信側でのインプレース操作においてLinuxページキャッシュの動作を悪用します。Qualysによれば、エクスプロイトは読み取り専用のページキャッシュページをカーネル構造にピン止めし、そのページにインプレース書き込みを引き起こすことで、狭い競争条件を使わずにローカル特権昇格への信頼性のあるパスを作り出します。
Qualysの公開されているCVE-2026-43500 pocの説明では、選ばれたターゲットは/etc/passwdの最初の行です。彼らの書き込みでは、実装はrootのパスワードフィールドを空にする方法でバイトを書き換え、その後攻撃者はパスワードプロンプトなしでsu -を実行できます。従って、公開されているCVE-2026-43500のペイロードは伝統的なマルウェアバイナリではなく、キャッシュされたデータをメモリ内で破壊して特権システムの動作を変えるための一連のローカルアクションです。
防御者がこれを真剣に扱うべき理由の一つは、可視性のギャップです。Qualysは、そのエクスプロイトがディスク上のファイルを直接変更しないため、ディスクのコピーをハッシュするツールは攻撃を見逃す可能性があることを指摘しています。なぜなら、悪意のあるキャッシュ状態は、キャッシュがドロップされるかシステムが再起動するまでRAMの中にのみ存在するためです。それがCVE-2026-43500の検出が、従来のファイル整合性チェックだけでなく、行動と実行時テレメトリにより依存する理由です。
Microsoftのテレメトリは、これが運用上どれだけ重要かを示しています。観察された一連の動作では、外部接続がSSHアクセスを取得し、対話型シェルを生成し、./updateという名前のELFバイナリをステージングし、その後すぐにsuによる特権昇格をトリガーしました。Microsoftはまた、GLPI LDAP認証ファイルの編集、システム構成の偵察、複数のPHPセッションファイルの削除、残存セッションデータへのアクセスを伴う後続の動作を観察しました。これらの行動は、引用されたソースから現在入手できる最も近い公衆CVE-2026-43500のIOCです。
露出の観点からは、CVE-2026-43500は脆弱なRxRPCサブシステムが存在し、ローカル攻撃者のコンテキストから到達可能な環境に影響を与えます。Qualysは特に、影響を受けるディストリビューションの中にUbantu, RHEL, CentOS Stream, AlmaLinux, Fedora, openSUSEなどを挙げており、Microsoftはエンタープライズデプロイメントが低権限アカウント、コンテナ、露出された管理パス、または侵害されたアプリケーションを使用している場合、ポストコンプロマイズリスクが高くなるとしています。
CVE-2026-43500とCVE-2026-43284の緩和策
実践的なCVE-2026-43500の緩和は、ベンダーのパッチが環境全体で完全に入手可能になる前に、利用可能な攻撃パスを減らすことから始まります。Microsoftは、2026年5月8日現在、CVE-2026-43500のパッチはまだ利用可能ではなく、操作上可能な場合は使用していないrxrpcカーネルモジュールを無効にする、esp4, esp6, および関連するIPsec/xfrm機能を安全に無効化できるかどうか評価する、不要なローカルシェルアクセスの制限、コンテナ化されたワークロードの強化、異常な特権昇格活動の監視を増やすといった暫定的な対策を推奨しています。
CVE-2026-43500の露出と悪用を検知するには、組織は静的署名セットを待つよりも、ローカル実行テレメトリ、疑わしいsu移行、予期しないモジュール使用、および特権昇格後の改ざんの証拠に重点を置くべきです。Microsoftは、Dirty Frag活動を積極的に追跡しており、Microsoft Defender製品にエクスプロイトファミリーの検出と疑わしいSUID/SGIDプロセス起動およびdirtyfrag脆弱性の潜在的悪用に関するアラートを既に提供していると述べています。
CVE-2026-43500のベストな現在の詳細は、緩和後の検証もサポートしています。Microsoftは、緩和策だけでは成功したエクスプロイト試行で既にもたらされた変更を元に戻すことができない可能性があると警告し、Qualysは汚染されたページキャッシュの内容がキャッシュがクリアされるか、再起動されるまで生き残る可能性があると指摘しています。このため、防御者は重要なファイルの整合性を確認し、安全に操作できる範囲で、キャッシュのクリアまたはインシデント対応時の再起動を検討すべきです。
FAQ
CVE-2026-43500 & CVE-2026-43284は何で、どのように機能しますか?
CVE-2026-43500は、Dirty Frag LinuxカーネルエクスプロイトチェーンにおけるRxRPCページキャッシュ書き込みの欠陥です。Qualysは、これが特権のないローカルユーザーによるメモリ内のキャッシュデータを操作し、rootへの昇格を可能にするものであるとし、Microsoftは、Linuxのネットワーキングおよびメモリフラグメント処理コンポーネントを含むより広範なポストコンプロマイズ特権昇格パスウェイの一部であると説明しています。
Dirty Fragはいつ最初に発見されましたか?
公開されている記事では個別の発見日を明らかにしていません。確認されていることは、QualysがDirty Fragを2026年5月7日に公開したと述べ、Microsoftがそのアクティブアタック研究を2026年5月8日に公開したことです。
Dirty Fragがシステムに与える影響は何ですか?
主要な影響は、攻撃者がすでにLinuxホストで制限付き実行を取得した後のrootへのローカル特権昇格です。Microsoftは、rootアクセスが得られると、攻撃者はセキュリティツールを無効化し、クレデンシャルにアクセスし、ログを改ざんし、横方向にピボットし、持続性を確立する可能性があると言っています。
2026年にもCVE-2026-43500とCVE-2026-43284は私に影響を及ぼしますか?
はい。システムは、2026年においても、脆弱なRxRPCパスが存在し、攻撃者が侵害されたアカウント、SSHフォーホールド、ウェブシェル、コンテナエスケープなどを通じてローカルコード実行を達成できる場合にはリスクがあります。MicrosoftはこのCVEの発行時点で、まだパッチが利用可能でないと述べています。
Dirty Fragから自分を守るにはどうすればいいですか?
可能な限り使用していないrxrpcモジュールを無効にし、不要なシェルアクセスを制限し、コンテナを強化し、異常な特権昇格の監視を強化し、ベンダーのカーネルパッチを利用可能になり次第デプロイすることで、露出を減らします。このエクスプロイトはメモリにのみ悪意のあるキャッシュ状態を残すことができるため、防御者はファイルの整合性を確認し、インシデント対応の一環としてキャッシュクリアまたは再起動を考慮すべきです。
