2025/01/29 SecurityOnline — Linux Kernel の eBPF (Extended Berkeley Packet Filter) フレームワークに発見された2つの脆弱性は、AF_XDP ソケットによる高性能パケット処理機能に影響を及ぼすものだ。それらの脆弱性 CVE-2024-56614/CVE-2024-56615 (CVSS:7.8) は、深刻なセキュリティ・リスクを引き起こす可能性があるとされている。この脆弱性を悪用する攻撃者は、重要な関数で整数オーバーフロー・エラーを引き起こし、境界外書き込みやメモリ破損などを可能にするとされる。
eBPF は、Linux カーネル空間でプログラムを実行できる強力なテクノロジであり、カーネル・モジュールや再コンパイルなどを必要としない。この柔軟性により、ネットワーク/セキュリティ/トレースなどの目的で多用されている。ただし、強力なパワーには大きなリスクが伴い、eBPF 内の脆弱性が広範囲に影響していく可能性は否定できない。
CVE-2024-56614:この脆弱性は、AF_XDP ソケット・フレームワークの一部である、xsk_map_delete_elem 関数内に存在する。AF_XDP は高性能パケット処理用に設計されており、この脆弱性の悪用に成功した攻撃者は、カーネルの制御権を取得し、任意のコード実行の可能性を手にする。
CVE-2024-56615:上記の CVE-2024-56614 と同様に、この脆弱性も整数オーバーフロー状態を引き起こすが、devmap_map_delete_elem 関数内に存在するとされる。この関数は、eBPF エコシステム内における、別のコンポーネントである DEVMAP に関連付けられてい。この脆弱性の悪用に成功した攻撃者は、カーネル侵害を達成し、悪意のコード実行の可能性を得る。
どちらの脆弱性も、境界チェック中において、符号無し/符号付きの整数の間で、暗黙的に型変換が行われるという原因から生じている。それにより、負の値がチェックをバイパスできるようになり、境界外の書き込み操作が発生し、メモリ破損や制御ハイジャックにいたるという。
これらの脆弱性に対しては、PoC エクスプロイト・コードがリリースされており、アクティブなエクスプロイトの可能性が大幅に高まっている。
一連の脆弱性の深刻度は Medium と評価されているが、その潜在的な影響は重大である。攻撃に成功した攻撃者は、システムを完全に侵害し、ルート権限を取得して、任意のコード実行を可能にする。ユーザーにとって重要なことは、パッチ適用済みの Linux カーネルへと更新し、これらの脆弱性を軽減することだ。
Linux Kernel の eBPF (Extended Berkeley Packet Filter) フレームワークは、かなりパワフルな機能を持っているようですね。文中のリンク先に、PoC が記載されています。この記事ではパッチの場所が分かりませんが、NVD を参照すると、CVE-2024-56614/CVE-2024-56615 のパッチ一覧が確認できます。
IoT OT Security News 
You must be logged in to post a comment.