Linux の脆弱性 CVE-2025-38001 が FIX:Google kernelCTF と Debian 12 に深刻な影響

Researchers Use 0-Day to Exploit Google kernelCTF and Debian 12

2025/08/04 gbhackers — Linux のネットワーク・パケット・スケジューラにおける、HFSC (Hierarchical Fair Service Curve) キューイング制御に存在する、深刻な Use-After-Free の脆弱性 CVE-2025-38001 を、セキュリティ研究者たちが発見し、実証的に武器化した。この脆弱性の悪用により、Google の kernelCTF インスタンス (LTS/COS など) が侵害され、Debian 12 システムでは完全な権限の奪取が可能になるという。

HFSC のリアルタイム・スケジューリング・モード NETEM によるパケット複製機能と、スロットル設定された Token Bucket Filter (TBF) root キューの組み合わせにより、この攻撃は、無害な無限ループから信頼性の高いエクスプロイトへと変貌した。この分析と解明により、研究者チームは、約 $82,000 の報奨金を獲得した。

脆弱性のメカニズムに関する詳細

HFSC (hierarchical fair-service curve) とは、サービス待機中のパケット・クラスの “eligible tree” (an RBTree) を管理するものだ。HFSC のリアルタイム・サービス・カーブにおいて、NETEM の複製機能が有効化されていると、再入呼び出しにより同一のパケットが繰り返してキューへ追加されるという。

CVE IDDescriptionAffected TargetsPatch/Commit
CVE-2025-38001Use-After-Free in HFSC eligible RBTree when NETEM duplication triggers double class insertion; infinite loop turned UAF.Linux kernels ≤ 6.6.7; Debian 12; Google kernelCTF LTS 6.6.*, COS-105, COS-109Fixed by commit ac9fe7dd8e73 ac9fe7dd8e73 

この挙動により、RBTree へクラスが重複挿入されるサイクルが形成され、キューからの削除操作が無限ループに陥る。また、低速な TBF root キューの導入により、不要なクラスが直ちに削除されず、RBTree のノードが解放不能な状態 (dangling) となる。

Deblan Exploit
Deblan Exploit

また、それ以降において、異なるクラスがキューに挿入されると Use-After-Free が誘発され、カーネル・ヒープの破損が発生する。そこで研究チームは、従来の ROP チェーンを使用せずに、ページ・ベクター・ベースのポインタ・コピー・プリミティブを開発した。

このテクノロジーは、解放された HFSC クラス・オブジェクトをユーザー制御のカーネルページ・ベクターに置換し、RBTree ポインタ操作を強制的に用いて、カーネル・ページ・ポインタを、一方のベクターから他方のベクターへと転送させるよう誘導する。

その結果として、参照カウントの不整合が発生し、ページ・レベルでの Use-After-Free 状態が引き起こされる。それにより、プロセスの認証情報を上書きし、root 権限への昇格が達成された。

このエクスプロイトは、以下の環境において、ほぼ完全に動作した:

  • Debian 12 (カーネル 6.6 以降)
  • Google の LTS/COS-105/COS-109 kernelCTF インスタンス

最適化されたスクリプトと GPU アクセラレーションを用いた PoW (Proof-of-Work) 解析により、わずか 3.6 秒で LTS フラグの窃取が達成されたという。これは Google kernelCTF における最速の記録であり、COS フラグも速やかに取得されたという。

その後に、この研究チームは Google の緩和策チャレンジを回避し、実験的防御機構に対する完全なエクスプロイト・チェーン・バイパスを実証した。

Google の対応

Google のセキュリティ・チームは、コミット ac9fe7dd8e73 において、この脆弱性の根本的な原因を修正した。この修正は、RBTree エントリの重複挿入を検出/防止するものであり、アップストリームにマージ済みであるという。Linux 6.6.8 および、今後の Debian 12 のリリースにも、この修正が含まれることになる。

緩和策として推奨されるのは、HFSC 環境下で NETEM の複製機能を無効化することだ。また、信頼されていないホストにおいて、HFSC_RSC の使用を制限することも推奨される。

今回の研究が示すのは、ファジングに加えて、手動によるコード監査を並行して実施することの意義である。複雑なスケジューラ間の相互作用は、単純ではない脆弱性を生み出し得る。また、創意的なキュー制御構成は、無害な挙動を深刻なセキュリティ欠陥へと変容させ得る。

すでに、脆弱性 CVE-2025-38001 の修正は完了している。したがって、システム管理者にとって必要なことは、速やかにカーネルを更新し、トラフィック制御構成を再評価し、危険性のある HFSC と NETEM の併用コンフィグを排除することだ。

この脆弱性は、Linux カーネルのネットワーク制御機能 HFSC におけるキュー管理処理に関するものです。NETEM のパケット複製と組み合わさることで、削除されたメモリ領域に対する Use-After-Free が発生し、最終的には root 権限の奪取まで可能になるとのことです。Debian 12 (カーネル 6.6 以降) および、Google の LTS/COS-105/COS-109 kernelCTF インスタンスを利用するチームは、ご注意ください。よろしければ、Linux で検索も、ご参照ください。