FreeBSD DHCP クライアントの脆弱性 CVE-2026-42511 が FIX:root 権限での任意のコード実行

FreeBSD DHCP Client Vulnerability Enables Remote Code Execution as Root

2026/05/02 CyberSecurityNews — FreeBSD Project が公開したのは、デフォルトの IPv4 DHCP クライアントに存在する深刻な脆弱性に対処する重要なセキュリティ・アドバイザリである。この脆弱性 CVE-2026-42511 (CVSS 8.1) を悪用するローカル・ネットワーク上の攻撃者は、root 権限で任意のコード実行を達成し、侵害したマシンの完全な制御を可能にする。AISLE Research Team の Joshua Rogers により発見された、この脆弱性は、現時点でサポートされている FreeBSD の全バージョンに影響を及ぼす。

FreeBSD DHCP クライアントの脆弱性

問題の核心は、dhclient(8) が DHCP サーバから受信する、ネットワーク設定パラメータを処理する方法にある。デバイスがネットワークへ接続して IP 設定データを要求する際に、DHCP クライアントは提供された BOOTP ファイル・フィールドを取得して、ローカルの DHCP リース・ファイルへと書き込む。

しかし、この処理において深刻な解析エラーが発生している。具体的には、埋め込まれたダブル・クォートが適切にエスケープされないため、”dhclient.conf” ファイルに任意の設定ディレクティブを注入することが、攻撃者に許される状況にある。その結果、システム再起動やネットワーク・サービス再読み込み時などにおいて、リース・ファイルが再解析されるときに、攻撃者が制御するフィールドが dhclient-script(8) に渡されてしまう。それらの入力値が、高権限で動作するスクリプトにより評価されることで、注入されたコマンドが root 権限で実行される。

この脆弱性を悪用する攻撃者は、標的と同一のブロードキャスト・ドメイン (ローカル・ネットワーク) 上に存在する必要がある。そこで不正な DHCP サーバを展開して被害者の DHCP リクエストを傍受し、悪意あるデータ・パケットで応答する。これがトリガされるとシステムは完全に侵害され、バックドアの設置やランサムウェアの展開、さらには企業ネットワーク内部への横展開までもが可能となる。

脅威インテリジェンスの観点では、このインシデントは MITRE ATT&CK の Adversary-in-the-Middle (T1557) および Command and Scripting Interpreter (T1059) に該当する。

この脆弱性は、以下のサポート対象 FreeBSD リリースおよび安定版ブランチに存在する。

  • FreeBSD 15.0 (15.0-RELEASE-p7 未満/15.0-STABLE)
  • FreeBSD 14.4/14.3 (14.4-RELEASE-p3 未満)
  • FreeBSD 14.3 (14.3-RELEASE-p12 未満)
  • FreeBSD 14-STABLE
  • FreeBSD 13.5 (13.5-RELEASE-p13 未満/13.5-STABLE)

これらのバージョンを使用している管理者は、アドバイザリに記載された Corrected (修正済み) 日時以降のソースまたはバイナリへとアップデートする必要がある。

対策および緩和策

すでに FreeBSD Project は、セキュリティ・パッチを提供している。したがって、システム管理者にとって必要なことは、FreeBSD アドバイザリ (FreeBSD-SA-26:12.dhclient) に従い、直ちに OS を更新することだ。

  1. ベース・システム・パッケージ:base パッケージ (amd64/arm64、FreeBSD 15.0) を使用するシステムにおいては、以下のコマンドを実行してアップデートを適用する。
  • # pkg upgrade -r FreeBSD-base
  1. バイナリ配布:その他のリリースでは update ユーティリティを使用し、以下の手順でパッチを適用する。 
  • # freebsd-update fetch
  • # freebsd-update install

FreeBSD dhclient を使用しているシステムにおいて、直接的な緩和策は存在しないが、エンタープライズ・スイッチで DHCP スヌーピングを有効化すれば、この脅威を軽減することが可能になる。

信頼されていないホストと正規 DHCP サーバの間で、DHCP スヌーピングがファイアウォールとして機能し、不正 DHCP サーバからの悪意のペイロード配信を防止できる。なお、dhclient(8) を使用していないシステムは、CVE-2026-42511 の影響を受けない。

訳者後書:FreeBSD の脆弱性 CVE-2026-42511 は、dhclient が外部からのデータを処理する際の、情報整理の不備が大きな原因となっています。本来、サーバから送られてくる文字列にダブル・クォートなどの特別な記号が含まれている場合には、それらを無害な文字として扱う “エスケープ処理” を行う必要がありますが、今回はその処理が不足していました。そのため、攻撃者が用意した悪意の命令が、そのまま設定ファイルの一部として取り込まれてしまいます。ご利用のチームは、ご注意ください。よろしければ、FreeBSD での検索結果も、ご参照ください。