事実上パッチが適用されていない、ほぼ全てのLinuxディストリビューションでrootアクセスを可能にする重大な脆弱性に対するエクスプロイトコードが公開され、データセンターや個人デバイスにおける深刻な侵害を防ぐために防御側が奔走する中、警鐘が鳴り響いています。 この脆弱性とそれを悪用するエクスプロイトコードは、セキュリティ企業である**Theori**の研究者らによって水曜日の夕方に公開されました。これは、Linuxカーネルセキュリティチームに非公開で開示してから5週間後のことです。同チームはバージョン7.0、6.19.12、6.18.12、6.12.85、6.6.137、6.1.170、5.15.204、および5.10.254でこの脆弱性をパッチしましたが、エクスプロイトが公開された時点で、Linuxディストリビューションのほとんどがこれらの修正を取り込んでいませんでした。 ## 全てをハックする単一のスクリプト **CVE-2026-31431**として追跡され、CopyFailと名付けられたこの重大な欠陥は、ローカル権限昇格、つまり特権を持たないユーザーが自身を管理者権限に昇格させることができる脆弱性クラスです。CopyFailは、水曜日の開示で公開された単一のエクスプロイトコードで悪用でき、変更なしで全ての脆弱なディストリビューションで機能するため、特に深刻です。これにより、攻撃者は、マルチテナントシステムをハックしたり、Kubernetesやその他のフレームワークに基づくコンテナから脱出したり、CI/CDワークフローを通じてエクスプロイトコードをパイプする悪意のあるプルリクエストを作成したりすることができます。 「『ローカル権限昇格』は退屈に聞こえるかもしれませんが、解説させてください」と研究者のJorijn Schrijvershof氏は木曜日に書いています。「これは、マシン上でコードを実行する方法を既に持っている攻撃者、たとえ最も平凡な特権を持たないユーザーであっても、自身をrootに昇格させることができるということです。そこから、あらゆるファイルを読み取り、backdoorをインストールし、あらゆるプロセスを監視し、他のシステムにピボットすることができます。」 Schrijvershof氏は、Theoriが公開した同じPythonスクリプトが、Ubuntu 22.04、Amazon Linux 2023、SUSE 15.6、およびDebian 12で確実に機能すると付け加えています。研究者は続けて述べています。 共有インフラストラクチャでそれがなぜ重要なのか？それは、「ローカル」が2026年においては広範囲をカバーするからです。共有Kubernetesノード上のあらゆるコンテナ、共有ホスティングボックス上のあらゆるテナント、信頼されていないプルリクエストコードを実行するあらゆるCI/CDジョブ、Windowsラップトップ上のあらゆるWSL2インスタンス、シェルアクセスを与えられたあらゆるコンテナ化されたAIエージェント。これらはすべて、近隣のシステムと単一のLinuxカーネルを共有しています。カーネルLPEは、その境界を崩壊させます。 現実的な脅威チェーンは次のようになります。攻撃者は既知のWordPressプラグインの脆弱性を悪用し、www-dataとしてシェルアクセスを取得します。彼らはcopy.fail PoCを実行します。彼らはホスト上でrootになりました。他のすべてのテナントは突然到達可能になり、このハックの事後分析で説明した方法でアクセスできるようになります。この脆弱性は攻撃者をボックスに侵入させるものではありません。それは、彼らがそこに到達した後の次の10秒間で何が起こるかを変更するものです。 この脆弱性は、カーネルのcrypto APIにおける「直線的」なロジックの欠陥に起因しています。レースコンディションやメモリ破損の欠陥を悪用する多くのエクスプロイトは、カーネルバージョンやディストリビューション、さらには同じマシン上でも一貫して成功しません。CopyFailのために公開されたコードはロジックの欠陥を悪用するため、「信頼性は確率的ではなく、同じスクリプトがディストリビューション間で機能します」と、**Bugcrowd**の研究者らは書いています。「レースウィンドウもカーネルオフセットもありません。」 CopyFailという名前は、IPsec拡張シーケンス番号に使用される認証済みAEADテンプレートプロセスが、実際にはコピーすべきデータをコピーしないことから来ています。代わりに、「呼び出し元の宛先バッファをスクラッチパッドとして使用し、正当な出力領域の4バイトを超えて書き込み、それらを復元しません」とTheoriは述べています。「AAD ESNバイトの『コピー』は、宛先バッファ内に留まるのに『失敗』します。」 ## 数年ぶりの最悪のLinux脆弱性 他のセキュリティ専門家も、CopyFailが深刻な脅威をもたらすという見方を支持しており、ある専門家は「最近のカーネルにおける最悪の『make-me-root』脆弱性」だと述べています。 最近の同様のLinux脆弱性としては、2022年のDirty Pipeと2016年のDirty Cowがあります。これらの脆弱性は両方とも実際に悪用されていました。 Linuxディストリビューターは、古いカーネルバージョンを維持し、それらに修正をバックポートすることがよくあります。開示期限において、Theoriがディストリビューターに連絡したという兆候はありません。修正されたディストリビューションが利用可能になる前にエクスプロイトが利用可能になったため、この開示は、ゼロデイ脆弱性が公開されたことと非常に似ていますが、より適切な用語はおそらく「ゼロデイパッチギャップ」でしょう。 「開示を行った組織は、脆弱性調整において完全にひどい仕事をした」と、**Tharros Labs**のシニアプリンシパル脆弱性アナリストであるWill Dormann氏はインタビューで述べています。「私にとって驚くべきことは、彼らのレポートで、(A) 4つの影響を受けるベンダーをリストアップし、(B) 読者にベンダーパッチを適用するように指示していることです。しかし、公開する前に、彼らがリストアップしたベンダーのいずれかが実際にパッチを持っているかどうかを確認する手間をかけませんでした。（誰も持っていません）。」 Theoriの代表者への連絡は成功しませんでした。 この脆弱性をパッチしたことが確認されているディストリビューションには、Arch LinuxとRedHat Fedoraが含まれます。この投稿が公開された時点で緩和ガイダンスをリリースしたことが確認されているものには、以下が含まれます。 * SUSE * Debian ユーザーは、システムを直ちに更新し、利用可能なパッチまたは緩和策を適用することが強く推奨されます。