セキュリティ研究者らによると、新たに発見された脆弱性は、2017年以降にリリースされた主要なオープンソースLinuxディストリビューションのほとんどに影響を及ぼす可能性がある。
Xint.ioとTheoriによって「Copy Fail」とコードネームが付けられたこの欠陥は、米サイバーセキュリティ・インフラセキュリティ庁(CISA)の注目を集めた。CISAは土曜日、この脆弱性を「既知の悪用された脆弱性(KEV)」カタログに追加し、「連邦政府機関に重大なリスクをもたらす」と警告した。
Xint.ioとTheoriの脆弱性調査チームは、「権限のないローカルユーザーが、Linuxシステム上の読み取り可能な任意のファイルのページキャッシュに制御された4バイトを書き込むことができ、それを利用してルート権限を取得できる」と述べている。
「10行のPython」で十分な可能性:研究者の指摘
この脆弱性により、攻撃者は732バイトのPythonスクリプトを使用して、広範囲のLinuxシステムでルートアクセスを取得できる可能性がある。ただし、権限を昇格させるには、事前にシステム上でコードを実行できる状態にあることが条件となる。
研究者のミゲル・アンヘル・デュラン(Miguel Angel Duran)氏は、影響を受けるシステムでルート権限にアクセスするには、わずか「10行のPython」があれば十分だと述べている。
Source: Andy
「このLinuxの脆弱性は異常だ」とデュラン氏は語った。 Linuxは、そのセキュリティと効率性の高さから、暗号資産取引所、ブロックチェーンノード、カストディサービスで広く利用されている。そのため、攻撃者が初期アクセスを得た場合、この脆弱性が同セクターにリスクをもたらす可能性がある。
脆弱性は3月に当初報告済み
Xint Codeは土曜日のXの投稿で、この欠陥は「Linuxにおける極めて容易に悪用可能なロジックバグであり、過去9年間にリリースされたすべての主要なディストリビューションで発生しうる」と述べた。 また、「小さくポータブルなPythonスクリプト一つで、すべてのプラットフォームのルート権限を取得できる」としている。
Source: Daniel Miessler
サイバーセキュリティ企業Theoriのブライアン・パク(Brian Pak)CEOは土曜日のXの投稿で、3月23日にLinuxカーネル・セキュリティチームにこの脆弱性を「非公開で」報告したと述べた。
「パッチ作成のために彼らと協力し、4月1日にメインラインに反映された。CVEは4月22日に割り当てられ、4月29日に完全な解説とPoC(概念実証)を公開した」とパク氏は説明している。
業界横断的な「Project Glasswing」始動の直後に発見
この欠陥の発見は、まさに「Project Glasswing」が本格始動したタイミングと重なった。「世界で最も重要なソフトウェア」を保護するためのこの新イニシアチブには、Amazon Web Services、Anthropic、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、Nvidia、Palo Alto Networksが参加している。
4月初旬のローンチ発表において、Anthropic社は同社のフロンティアモデル「Claude Mythos Preview」が、「ソフトウェアの脆弱性を発見・悪用する能力において、極めて熟練した人間を除くすべての人を凌駕するレベルのコーディング能力に達した」ことを示したと述べた。
「経済、公共の安全、そして国家安全保障への影響は深刻なものになる可能性がある。Project Glasswingは、これらの能力を防御目的で活用するための緊急の試みである」とAnthropic社は述べている。
