Android デバイスに影響を及ぼす Linux カーネルの CVE-2025-38352:PoCエクスプロイトが公開

PoC Exploit Released for Android/Linux Kernel Vulnerability CVE-2025-38352

2026/01/07 CyberSecurityNews — Linux カーネルにおける深刻な競合状態の脆弱性 CVE-2025-38352 に対する PoC エクスプロイトが GitHub 上で公開された。この脆弱性は今年初めに発見されたものであり、POSIX CPU タイマーの実装を標的としている。これまでに、32-bit Android デバイスに対する限定的かつ標的型の攻撃で悪用されたことが確認されている。

脆弱性 CVE-2025-38352 は、Linux カーネルの handle_posix_cpu_timers() 関数に存在する解放後メモリ使用 (UAF:Use-After-Free) の欠陥である。この問題は、CONFIG_POSIX_CPU_TIMERS_TASK_WORK コンフィグ・フラグが無効化されている場合に発生する。この設定は、多くの 32-bit Android カーネルで使用されているが、64-bit システムでは採用されていない。

この脆弱性は、POSIX CPU タイマーがゾンビ・タスク上で起動した際に生じる競合状態に起因する。攻撃者がゾンビ・プロセスの生成タイミングを精密に制御し、親プロセス経由でプロセス情報を取得し、タイマー削除をトリガーすると、カーネルによる解放済みメモリへのアクセス状態が引き起こされる。その結果、権限昇格やカーネル・コード実行に至る可能性がある。

Chronomaly エクスプロイト

ブロックチェーン・セキュリティ企業 Zellic に所属するセキュリティ研究者 Faith は、Linux カーネル v5.10.x を標的として完全に機能するエクスプロイト Chronomaly を公開した。このエクスプロイトは、脆弱性の発見/詳細な分析/実用的なエクスプロイト手法を解説する、3部構成の技術ブログ・シリーズとともに公開されている。

Chronomaly
Chronomaly

Chronomaly の特徴として挙げられるのは、カーネル・シンボルのオフセットや特定のメモリ・アドレスを必要としない点である。この設計により、異なるカーネル・コンフィグ間でも高い移植性を有する。

このエクスプロイトは、CPU タイマー操作と sigqueue 構造体を用いたクロスキャッシュ割り当て戦略により、競合ウィンドウを意図的に拡張し、競合状態の再現性を高めるものだ。その実行に際しては、少なくとも 2 CPU を備えたマルチコア・システムが必要とされる。

検証で確認されたのは、QEMU 上で動作する Linux カーネル v5.10.157 環境において、パラメータを調整することで安定した悪用が可能であることだ。

すでに脆弱性 CVE-2025-38352 は、CISA の Known Exploited Vulnerabilities (KEV) カタログに追加されており、実環境における継続的な悪用が確認されている。その主要な影響の範囲は 32-bit 版 Android デバイスであるが、同様のカーネル・コンポーネントは他の Linux ベース・システムの 32-bit 版にも存在する。

GitHub のアドバイザリでユーザーに対して強く推奨されるのは、パッチ適用済みのカーネルへのアップデートもしくは、CONFIG_POSIX_CPU_TIMERS_TASK_WORK オプションの有効化である。

アップストリーム Linux カーネルでは、コミット f90fff1e152dedf52b932240ebbd670d83330eca により修正が行われており、ゾンビ・タスクに対するタイマー処理が防止されている。

デバイス・メーカーおよびシステム管理者に求められるのは、カーネル・アップデートを最優先で適用し、この深刻な競合状態の脆弱性によるリスクを低減することだ。

Linuxカーネルの脆弱性 CVE-2025-38352 に対して、PoC エクスプロイトが提供されました。この脆弱性の原因は、カーネル内の POSIX CPU タイマーという仕組みにおいて、プロセスの終了時にメモリ管理の不整合が起きる “競合状態” の発生にあります。具体的には、役目を終えたゾンビ状態のプロセスに対してタイマーが動いてしまう不備があり、本来解放されているはずのメモリ領域に不正にアクセスできてしまう (Use-After-Free) 状態が生まれています。文中にもあるように、すでに CISAの KEV にも登録され、実環境での悪用が確認されている脆弱性です。ご利用のチームは、ご注意ください。よろしければ、CVE-2025-38352 での検索結果も、ご参照ください。