事実上すべてのLinuxディストリビューションが脆弱であり、Copy Failの修正だけでは不十分
Dirty FragのLinuxカーネル脆弱性について、有名なセキュリティ専門家は次のように述べている。
ブラック・ダックの主席サイバーセキュリティエンジニアであるベン・ロナロは筆者に対し、「この脆弱性は、システム内のページキャッシュを攻撃するという点で、Copy FailやDirty Pipeに似ています。ページキャッシュでは、同じメモリー領域上で暗号化や復号を行うインプレースの暗号処理が行われます」と述べた。「ただしDirty Fragは、Linuxの単一のサブシステムに限定されません」。完全な攻撃コードがすでに公開されたことを受け、ロナロは筆者の以前の警告に呼応する形で、「これが攻撃用に実用化されるまで、数時間から数日の問題です」と述べた。
一方、バグクラウドの最高AI・科学責任者であるデビッド・ブラムリーは、Dirty FragはCopy Failと同じ脆弱性の分類に属するとしつつ、「事実上すべてのLinuxディストリビューションが脆弱であり、Copy Failへの修正だけでは不十分です」と述べた。
Copy Failは高度なAI分析によって発見されたにもかかわらず、Dirty Fragが見逃されていたことは懸念材料だ。ブラムリーは「これは、脆弱性の分類というものが、1度の調査で尽くされることはめったにないということを思い出させます。たとえ、それが非常に優れた調査であっても同じです。独立した研究者は今も重要です。彼らは異なる直感、異なる作業手順、異なる失敗のしかたを持ち込むからです」と述べた。
セクティゴのシニアフェローであるジェイソン・ソロコは、Dirty Fragの脅威としての重大性は「その挙動の再現性が非常に高いことによって増幅されている」と警告した。そのうえで、「この攻撃はタイミングの隙や競合状態に依存しないため、攻撃者はカーネルパニックを引き起こすリスクを負うことなく、極めて高い成功率で即座にroot権限を取得できます」と説明した。
パッチ提供前にLinuxのDirty Frag攻撃リスクを緩和する方法
ゼロデイ脆弱性が一般公開され、パッチがまだ提供されていない時点(米国時間5月10日現在)でLinuxへの攻撃を緩和するために、キムは、脆弱性が存在するモジュールを以下のように削除することをユーザーに助言している。
sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"
Dirty Fragは、以下の6種類のLinuxディストリビューションおよびバージョンで悪用可能であることがテストで確認されている。
・Ubuntu 24.04.4: 6.17.0-23-generic
・RHEL 10.1: 6.12.0-124.49.1.el10_1.x86_64
・openSUSE Tumbleweed: 7.0.2-1-default
・CentOS Stream 10: 6.12.0-224.el10.x86_64
・AlmaLinux 10: 6.12.0-124.52.3.el10_1.x86_64
・Fedora 44: 6.19.14-300.fc44.x86_64_
最新のLinuxカーネルのゼロデイ脆弱性に関する技術的な詳細をさらに読み、関連する動向を追跡するには、公式のDirty Frag情報サイトで確認できる。
訳注:利用中のLinuxディストリビューションが何らかの案内やドキュメントを公開していないか、確認することを強く推奨する。記事中で引用されているコマンドは応急処置であり、副作用がある点に注意が必要である。カーネルモジュールであるesp4(ESP for IPv4)とesp6(ESP for IPv6)を無効化するとIPsec VPNが機能しなくなり、IPsec VPNを業務利用している環境では通信が止まる可能性がある。
RxRPC(rxrpc)モジュールの無効化は一般的なサーバーでは影響が小さいが、AFS(Andrew File System)分散ファイルシステムを使っている環境では問題となる。したがって本番環境に適用する前に、自組織の構成でこれらのモジュールが実際に使われていないかを確認するのが望ましい。
