CVE-2025-0927: Public Exploit Released for Linux Kernel Privilege Escalation Bug
2025/03/25 SecurityOnline — 主として Ubuntu 22.04 ユーザーに影響を及ぼす、Linux カーネル内の重大な脆弱性について、新たに公開された SSD Disclosure のアドバイザリが詳述している。この脆弱性 CVE-2025-0927 は、HFS+ ファイル・システム実装におけるヒープ・オーバーフローの欠陥であり、影響を受けるシステム上で、攻撃者に対してローカル権限の昇格を許す可能性があるものだ。
この欠陥は、Linux カーネルの HFS+ ドライバーに存在する。SSD Disclosure のアドバイザリによると、この脆弱性は B-Tree ノード処理におけるバッファー・オーバーフローに起因するという。特定の条件下では、”fs/hfsplus/bnode.c” にある hfs_bnode_read_key 関数を使用して、ファイル・システムからカーネル内バッファーへ向けてデータが入力されるが、キーのサイズに関する適切な境界チェックが欠如している。
このアドバイザリは、「この関数が呼び出す B-Tree レコードに格納されているキーの長さは、妥当性が検証されているコンテキストのみであると、作成者は想定していたようだ」と指摘している。
興味深いことに、この脆弱性が Linux カーネルに存在し始めたのは、2005 年の最初の git リポジトリ・ビルドまで、具体的には Linux-2.6.12-rc2 にまで遡る。この脆弱性は、Linux カーネルのバージョン 6.12.0 までと、Linux カーネル 6.5.0-18-generic を搭載した Ubuntu 22.04 に影響を及ぼす。
この脆弱性を悪用する前提として攻撃者は、特別に細工されたファイル・システムをマウントする必要がある。これまで、ファイル・システムのマウントは CAP_SYS_ADMIN 機能を持つプロセスに制限されていたが、名前空間の導入により、これらの制限を緩和することについての議論が進んでいる。
あるサイバー・セキュリティ研究者が、この欠陥に対する PoC エクスプロイトを公開した。
このアドバイザリは、「権限のないマウントでは、カーネル・ファイル・システムのバグを悪用する攻撃者は、マシンに物理的にアクセスする必要がない。つまり、ループバック・マウントを使用するだけで、機能するものが見つかるまで、破損したイメージをマウントし続けることが可能になる」と、この変化について強調している。
Ubuntu のコンテキストでは、デスクトップ版とサーバ版において、アクティブなローカル・セッションを持つユーザーがループデバイスを作成し、さまざまなブロック・ファイル・システムをマウントできるようにする、デフォルトの polkit ルールが付属していると、アドバイザリは指摘している。それにより、カーネルが通常のユーザーに課す、CAP_SYS_ADMIN 制限が効果的に回避されてしまう。
脆弱性 CVE-2025-0927 の CVSS スコアは 7.8 である。この脆弱性の悪用に成功した攻撃者は、サービス拒否 (システム・クラッシュ) や、任意のコード実行を引き起こす可能性を手にする。
すでに Ubuntu は、セキュリティ・アドバイザリと修正版のリリースにより、でこの脆弱性に対処している。影響を受けるシステムのユーザーに対して、強く推奨されるのは、提供されたパッチを速やかに適用することだ。
この脆弱性が存在する HFS+ は、主に macOS で使用されるファイル・システムのため、Linux 環境での利用は比較的限定的だと考えられます。ただし、Ubuntu に関しては例外のようなので、ご確認ください。また、この脆弱性は PoC エクスプロイトが提供されており、悪用の可能性が高まっています。ご利用のチームは、十分にご注意ください。よろしければ、Linux Kernel で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.