CISA Warns of Actively Exploited Linux Kernel Vulnerabilities (CVE-2024-53197, CVE-2024-53150)
2025/04/10 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Linux Kernel で新たに発見された2つの脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加し、それぞれの脆弱性の武器化について警告を発している。
これらの脆弱性 CVE-2024-53197/CVE-2024-53150 は、デジタル・フォレンジック・ベンダー Cellebrite と、セルビアの法執行機関が展開する、高度なゼロデイ・エクスプロイト・チェーンの一部として悪用され、Android デバイスのロック解除に用いられたとされる。
CISA は、「この種の脆弱性は、サイバー攻撃者が頻繁に悪用する攻撃経路であり、連邦政府機関に重大なリスクをもたらす」と、最新のアドバイザアリで警告している。
脆弱性 CVE-2024-53197 は、Linux カーネルの ALSA (Advanced Linux Sound Architecture) デバイス用の、USB オーディオ・ドライバに存在する境界外アクセスのバグである。
この脆弱性は、Android デバイスのロックを強制的に解除するために、法執行機関が悪用する大規模なエクスプロイト・チェーンであり、Amnesty International の Security Lab によるフォレンジック調査で発見されたものだ。
Amnesty の研究者によると、このエクスプロイト・チェーン (CVE-2024-53197/CVE-2024-53104/CVE-2024-50302) は、セルビア警察がロック解除したデバイスで見つかった、ログを解析している際に発見されという。
このエクスプロイトはローカル権限の昇格を許可し、接続された USB デバイスから、標的の Android システムへの侵入を可能にする。このエクスプロイトは、スマフォのクラッキング技術で物議を醸している、イスラエルのフォレンジック企業 Cellebrite により開発されたと報じられている。
このエクスプロイト・チェーンに含まれる、他の脆弱性は、以下のとおりである:
- CVE-2024-53104:USB ビデオのゼロデイ脆弱性 (2025年2月に修正)。
- CVE-2024-50302:HID のゼロデイ脆弱性 (2025年3月に修正)
これらの3つのゼロデイ脆弱性が示すのは、モバイル・デバイスにおける USB 攻撃対象領域が、依然として過小評価される脅威ベクターであることだ。
この記事の冒頭で触れた2つ目の脆弱性 CVE-2024-53150 は、Android で使用される Linux カーネルにおける、境界外読み取りに起因する情報漏洩の欠陥である。
このバグを悪用するローカル攻撃者は、ユーザーの操作を必要とせずに機密データにアクセスできるため、標的型監視やデータ窃取のための、ステルス性の高いツールとなり得る。
この脆弱性 CVE-2024-53150 には、カーネル空間からユーザー空間へ向けてメモリ内容を漏洩させ、暗号鍵や認証情報を漏洩させる可能性がある。
2025年4月の Google Android セキュリティ・アップデートは、62件の脆弱性に対するパッチを提供しているが、その中に、この2件の深刻なゼロデイ脆弱性も含まれる。
CISA は、すべての連邦文民行政機関 (FCEB) に対して、2025年4月30日までに、これらの脆弱性の影響を受けるシステムに対して、パッチ適用を求める連邦指令を発行している。
2025/04/08 に投稿した脆弱性「Android のゼロデイ脆弱性 CVE-2024-53197/53150 が FIX:実際の攻撃での悪用を確認」が、CISA KEV に登録されました。USB 経由の物理アクセスで Android デバイスのロックを解除できる手法が、実際に国家機関によって利用されていたという事実には驚かされます。これらの脆弱性はすでに修正されていますので、ご利用の方は、アップデートをご確認ください。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.