Linuxコミュニティは新たな課題に直面している 地域における特権拡大の重大な脆弱性 「ダーティフラグ」と呼ばれるこの事件は、判決からわずか1週間後に発覚した。 コピー失敗この新たなセキュリティ問題について、詳細に説明します。 GitHubでこれにより、権限を持たないローカルユーザーでも、ほとんどの最新のLinuxディストリビューションでrootアクセスを取得できてしまいます。そして、最も懸念されるのは、今のところ、 公式のパッチや割り当てられたCVE識別子はありません。.
Dirty Fragは予定より早く公開されました。 セキュリティ禁輸措置違反研究とは無関係の第三者が情報の一部を漏洩したため、研究者はカーネルのメンテナやディストリビューションがパッチを用意する前に、技術的な詳細と概念実証を公開せざるを得なくなった。これにより、システム管理者は、確実に悪用可能な脆弱性を抱えながらも、決定的な解決策がまだ存在しないという、不安定な状況に置かれている。
ダーティフラグとは何ですか?また、なぜこれほど大きな懸念を引き起こしているのですか?
Dirty Fragは Copy Failの直接の後継作品 そして、ダーティパイプと同じ脆弱性のファミリーに属します。これらの脆弱性はすべて、共通の根本原理を共有しています。 カーネルのページキャッシュ管理におけるエラーを悪用するつまり、Linuxがパフォーマンス向上のために保持している、メモリ上のファイルコピーのことです。
実際には、この攻撃はそれを達成する。 カーネル自体がページキャッシュ内のコンテンツを上書きする 攻撃者がそのファイルへの書き込み権限を持たない状態で、ファイルを上書きすることが可能になります。この制御された上書きは任意の書き込みプリミティブとなり、適切に悪用されれば、エクスプロイトを一度実行するだけでroot権限への昇格が可能になります。
韓国の研究者キム・ヒョンウ( @v4bel) Dirty Frag は単なる一過性のバグではなく、 論理的な脆弱性クラス これは、Dirty Pipe や Copy Fail と同じファミリーを拡張したものです。時間や競合状態に依存しないため、エクスプロイトは決定論的であり、失敗した場合でもカーネルクラッシュを引き起こさず、 非常に高い成功率 脆弱なシステムの場合。
2つの脆弱性を連鎖的に利用してルートアクセス権を取得する
Dirty Frag の重要な特徴の 1 つは、単一の障害に基づくのではなく、 これは2つの異なるLinuxカーネルの脆弱性を連鎖的に引き継ぐものです。 現代のシステムに対するほぼ普遍的な攻撃を実現するため:
- xfrm-ESP ページキャッシュ書き込み – IPsec/ESP ネットワークスタック (esp_input() 関数) の脆弱性、 2017年1月コミット (cac2661c53f3)。 4バイトのストレージ ページキャッシュに直接保存され、攻撃者が制御する位置と値を持つ。
- RxRPCページキャッシュ書き込み – RxRPC/rxkadサブシステム(関数rxkad_verify_packet_1())の障害、発生時期: 2023年XNUMX月これは、名前空間を作成するための権限を必要とせずに、復号化プロセスを利用してページキャッシュに 8 バイトの書き込みを実行し、キーは ユーザー空間から完全に総当たり攻撃を行う.
最初の脆弱性はIPsec(xfrm)サブシステムで発見され、 スプライスページを備えた非線形ソケットバッファ (ページキャッシュ内のページは、次のような操作によって関連付けられます。 splice(2) o sendfile(2)) は、(skb_cow_data()このシナリオでは、ESPの高速復号パスがこれらのページに直接書き込むため、特権のないプロセスが参照するデータを改変する道が開かれます。
RxRPCの場合、復号パス ページキャッシュ内のページにインプレース復号を適用する これらもユーザーによって「アンカー」されますが、名前空間の作成などの特別な権限は必要ありません。攻撃者はユーザー空間で暗号化されたブロックを準備し、カーネルによって復号化されると、 結果はまさに望んでいた通りの文章です 記憶に残る。
Dirty Fragがほぼすべてのディストリビューションに影響を与える理由
どちらの脆弱性も、個別に見た場合、すべてのシナリオを網羅するものではありません。xfrm-ESP エクスプロイトでは、権限のないユーザーが以下の操作を実行できる必要があります。 ユーザー名前空間を作成するこれは、一部のUbuntu構成ではAppArmorによってブロックされる機能です。一方、RxRPCの脆弱性を悪用する攻撃には名前空間は必要ありませんが、モジュールには必要です。 rxrpc.ko はデフォルトでは含まれていません RHELの特定のバージョンなど、ほとんどの企業向けディストリビューションで使用されています。
Dirty Fragの鍵は 両方の悪用経路を相補的に利用するユーザー名前空間が許可されているシステムでは、ESP バリアントが最初にトリガーされます。多くの Ubuntu インストールのような、名前空間の作成が制限されているが rxrpc モジュールがデフォルトでロードされている環境では、RxRPC バリアントが実行されます。したがって、 一方の攻撃ルートの「死角」はもう一方のルートでカバーされる。事実上あらゆる脆弱性を悪用することに成功した。
影響を受けることが確認された流通の中には、 Ubuntuの24.04.4異なるバージョン RHEL 10.1、CentOS Stream 10、AlmaLinux 10、Fedora 44、openSUSE Tumbleweedこれは、Arch LinuxやWindows上のWSL2環境など、他の一般的なプラットフォームにも当てはまります。実際には、関連するモジュールや設定が使用されている場合、現在使用されているLinuxサーバーやデスクトップの大部分が脆弱な状態にある可能性があることを意味します。
コピー失敗やその他の最近の失敗との関連性
Dirty Frag は、すでに強制的にコピー フェイル (CVE-2026-31431) を引き起こした直後に発生しました。 複数のLinuxディストリビューションにわたるパッチ適用を加速する 権限昇格の脆弱性が積極的に悪用されている状況において、両者ともページキャッシュと高速I/Oパスを悪用するという点で共通しているが、Dirty Fragには懸念すべき利点がある。 コピー失敗対策が適用されているシステムでも機能します。モジュールロックなど algif_aead または政策 カーネルロックダウン.
研究者は、ダーティフラグがトリガーされる可能性があると指摘している。 algif_aeadモジュールが有効かブロックされているかに関わらずつまり、本番サーバーが既にコピー失敗に関する推奨事項を実装している場合でも、カーネルが特定のパッチで更新されるか、一時的な緩和策が適用されるまで、この新しい脆弱性に対して脆弱なままとなる。
ビジネス環境への影響
文脈上、 Linuxは、データセンター、クラウドプロバイダー、政府機関などで広く利用されている。Dirty Fragは、内部ネットワーク内での横方向の権限昇格のリスクが高い。攻撃者は、通常のユーザーアクセス権を取得すると(たとえば、盗まれた認証情報、脆弱なWebアプリケーション、または設定ミスのあるサービスを介して)、 すぐにローカルルートアクセスを取得できました しかも、複雑な条件を利用する必要もない。
Ubuntu、RHEL、CentOS Stream、Fedora、AlmaLinuxなどのディストリビューションでミッションクリティカルなサービスを運用している組織にとって、問題は単一のベンダーに限定されません。 それはLinuxカーネル自体の中に存在します。AlmaLinuxなどのプロジェクトは既に作業を開始しています。 テスト用の初期パッチしかしながら、本稿執筆時点では、広く普及している公式な解決策はまだ存在しない。
このシナリオにより、多くのセキュリティおよびシステムチームは、 暫定措置サーバーとワークステーションのインベントリを確認し、対話型シェルやシステム上でバイナリを実行する機能を持つユーザーがいる環境を優先し、認証情報(例: rootパスワードを変更するなぜなら、それはまさにダーティフラグが悪用するベクトルだからである。
カーネルの障害箇所はどこですか?
技術的なレベルでは、Dirty Frag は 高速なインプレース復号化ルート カーネルのesp4、esp6、およびrxrpcネットワークモジュールから。ネットワークパケットがESPまたはRxRPCでラップされて到着すると、受信パスはパフォーマンス向上のため、追加のデータコピーなしで復号化を試みます。
問題は、それらのパッケージに カーネルが排他的に所有していないページングされたメモリの断片操作に関連付けられたページ キャッシュ内のページなど splice o MSG_SPLICE_PAGESプライベートバッファを操作する代わりに、カーネルは 共有ページに直接書き込むこれらは依然として権限のないユーザープロセスによって参照されています。これにより、データの平文が漏洩したり、さらに悪いことに、意図的な改ざんを許してしまう可能性があります。
セキュリティ関連のメーリングリストに掲載された分析によると、 oss-securityとnetdevxfrm-ESPの脆弱性を導入した2017年1月のコミットは、以前のバッファオーバーフロー(CVE-2022-27666)の原因でもあり、 同じコード変更が複数のセキュリティ問題を引き起こした。 この数年間で。
パッチの欠如と禁輸措置の違反
ダーティフラグは非公開で通報された Linuxカーネルのメンテナー(2026年4月30日)当初の計画では、パッチの準備、配布との連携、そして情報漏洩期間の最小化を図るため、5月中旬まで情報を公開しない予定だった。
しかし、調整プロセスとは無関係の第三者が発表した ESPエクスプロイトの詳細(5月7日)禁輸措置を破る。この状況に直面した研究者は、完全な情報を公開することにした。 単一のコマンドでroot権限を取得できる機能的な概念実証その結果、ほとんどのディストリビューションや世界の他の地域は、解決策を準備できないまま、その場しのぎの対応を強いられることになった。
開示時点では、 メインカーネルツリーには公式パッチは存在しなかった。 主要ベンダーからも最新バージョンは配布されていません。AlmaLinuxなどの一部のプロバイダーは内部テスト用の暫定パッチをリリースしていますが、管理者は依然として主に設定レベルの対策に頼っています。
パッチがリリースされるまでの間、ダーティフラグを軽減する方法
即時のアップデートがない場合、セキュリティコミュニティからの一般的な推奨事項は次のとおりです。 関係するカーネルモジュールをブロックまたは無効にする 判決では: esp4, esp6 y rxrpcこれにより、脆弱な経路が読み込まれたり使用されたりするのを防ぎ、攻撃対象領域を大幅に縮小できます。
ほとんどのデスクトップシステムと汎用サーバーでは、これらのモジュールは それらは必須ではありませんこれらは主にIPsec機能(ネットワークトラフィックの暗号化)とRxRPC(標準的な展開ではあまり一般的ではないリモートプロシージャコールメカニズム)に関連しているためです。ただし、 ESPベースのIPsec VPN または他の特定のサービス。それらを無効にすると接続に影響が出る可能性があり、リスクを評価する必要があります。
この対策を迅速かつ自動的に適用する方法は、脆弱なモジュールを無害なバイナリに強制的に置き換え、既にアクティブになっている場合はアンインストールするmodprobe構成を作成することです。さまざまなセキュリティ関連情報源が、以下のようなコマンドラインを共有しています。
sudo sh -c "printf 'install esp4 /bin/false
install esp6 /bin/false
install rxrpc /bin/false
' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"このコマンドはファイルを作成します /etc/modprobe.d/dirtyfrag.conf モジュールを防止するルール付き esp4, esp6 y rxrpc それらを再読み込みし、既にメモリにロードされている場合はアンロードを試みます。インフラストラクチャ内のほとんどの Web サーバー、データベース、または一般的なビジネス アプリケーションの場合、 中断を引き起こすべきではないしかし、まずは本番環境前の環境でテストを行うことを常に推奨します。
概念実証と実世界での悪用リスク
Dirty Fragの一般公開と同時に、研究者は 概念実証コードを含むリポジトリこれにより、エクスプロイトをコンパイルして数個のコマンドで実行できます。生成されたバイナリは、2 つの攻撃パス (ESP と RxRPC) を連鎖させ、脆弱なシステムでは、 現在のユーザーを即座にroot権限に昇格させる.
故障を分析した一部の技術情報源によると、 異なるディストリビューションで脆弱性を再現するこれには、最新のArch Linuxインストール環境や、最新のメジャーカーネルを搭載したシステムが含まれます。開発者の間で利用が拡大しているWSL2のような環境でも、基盤となるカーネルが必要な条件を満たしていれば、同様の動作を示すことが確認されています。
使いやすい公開エクスプロイトと パッチが利用できないウィンドウ これにより、悪意のあるグループがDirty Fragを攻撃チェーンに組み込もうとする可能性が高まります。多くの組織にとって、これはアクセス制御の見直し、内部ネットワークのセグメンテーションの強化、Linuxサーバー上の不審なアクティビティの監視強化を緊急に行う必要があることを意味します。
配布に関する対応と今後のステップ
この発表はエコシステムの大部分を驚かせたが、いくつかのLinuxシステムプロバイダーは 影響を受ける復号化ルートに対する特定のパッチに取り組む研究者自身がRxRPC部分の修正をメーリングリストに送信した。 netdev 4月末までに完了する予定であり、今後数日から数週間以内に、これらの解決策がカーネルの安定版ブランチに統合される見込みです。
強い存在感を示す分布の場合、 Ubuntu、Debian、RHEL、SUSE、openSUSE、Fedora、またはAlmaLinux重点は、通常のセキュリティチャネルを通じて適切にテストされたカーネルアップデートを提供することにあります。一方、管理者とITマネージャーは、 セキュリティ勧告を注意深く監視する 公式リポジトリでアップデートが利用可能になったら、すぐに適用してください。
最近の Dirty Pipe、Copy Fail、そして今回の Dirty Frag の経験は、 カーネルの重要部分におけるセキュリティレビューを改善する特に、高速ネットワークやI/Oパスといった高性能な領域では、積極的な最適化によって、目立たないながらも非常に危険なエラーが発生する可能性がある。
Dirty Fragの出現は、他の最近のバグとともに、メンテナンスの重要性を改めて浮き彫りにしています。 俊敏なアップデートポリシーと多層防御制御 あらゆるLinuxインフラストラクチャにおいて、この脆弱性は存在します。現時点では、この脆弱性に対する決定的なパッチはまだ提供されていませんが、関連するモジュールを無効化し、システムを監視し、今後のカーネルアップデートを迅速に展開できるよう準備することが、この新たな攻撃経路の影響を最小限に抑えるための最善の対策となっています。
