CISA Issues Alert on Actively Exploited Linux Kernel Security Flaw
2026/06/05 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Linux カーネルの脆弱性 CVE-2022-0492 が実環境で積極的に悪用されているとして、Known Exploited Vulnerabilities (KEV) カタログに登録した。この脆弱性は、不適切な認証の問題として分類されるものであり、cgroups v1 の release_agent 機能を使用する Linux システムに影響し、侵害した環境内での権限昇格を許す。
Linux カーネル・セキュリティの不具合
連邦政府の組織は Binding Operational Directive (BOD) 22-01 に基づき、2026年6月2日から 6月5日までの 3日間で対応する必要がある。この指令は、すでに攻撃者が悪用している脆弱性への迅速な緩和を義務付けるものだ。
前述のとおり、脆弱性 CVE-2022-0492 は、Linux カーネルの cgroups v1 サブシステムにおける認証制御の不備に起因し、それを悪用する攻撃者は release_agent メカニズムを介して、昇格した権限での任意のコード実行を可能にする。
リソース分離および管理に cgroups が広く使用されるコンテナ環境において、この問題は特に深刻である。悪用に成功した攻撃者は、コンテナ制約を回避し、ホストシステム上の root 権限を取得できる。
この脆弱性は、CWE-287 (不適切な認証) および CWE-862 (認可不備) に分類され、アクセス制御における深刻な問題を引き起こす。
以前よりセキュリティ研究者たちは、限定的なアクセス権しか持たない攻撃者であっても、この脆弱性を利用してコンテナ・エスケープを達成し、クラウドネイティブおよび Kubernetes ベース環境に深刻なリスクを招くことを実証している。
この脆弱性とランサムウェア・キャンペーンとの関連について、CISA は明言していないが、KEV カタログへの追加が示唆するのは、実環境における攻撃での悪用である。
歴史的に見て、権限昇格を可能とする脆弱性は、侵入後フェーズにおいてランサムウェア攻撃者により横展開のために頻繁に悪用されている。
影響を受ける Linux カーネルを使用する組織に強く推奨されるのは、ベンダーが提供するパッチの即時適用である。
迅速なパッチ適用が困難な環境では、以下の緩和策を実施する必要がある。
- 非特権 user namespace の無効化
- cgroups v1 へのアクセス制限
- 可能であれば cgroups v2 への移行
さらに、異常なコンテナ挙動や権限昇格の兆候を継続的に監視することが重要である。
Linux が、エンタープライズ・サーバ/クラウド基盤/コンテナ・ワークロードなどで広く利用されていることを踏まえると、現代インフラに対する重大な脅威として、脆弱性 CVE-2022-0492 を扱う必要がある。
セキュリティ・チームは、この脆弱性に対する対応を最優先とし、悪用検知のための監視体制を確実に整備する必要がある。
訳者後書:Linux カーネルの脆弱性 CVE-2022-0492 が、CISA の KEV カタログに登録されました。この問題の原因は、リソースを管理する cgroups v1 という仕組みの中で、認証や認可のチェックが不十分だったことにあります。この確認の不備を突く攻撃者は、release_agent という機能を悪用することで、本来は制限されているはずのコンテナの壁を越えて、ホストシステムの root 権限を奪う可能性を得ます。ご利用のチームは、ご注意ください。よろしければ、2022/03/06 の「Linux Kernel cgroups に存在するコンテナ・エスケープの脆弱性 CVE-2022-0492 が FIX」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.