最近修正された**Linux**カーネルのrxgkモジュールにおけるローカル権限昇格の脆弱性に対し、攻撃者が一部の**Linux**システムでroot権限を取得できる概念実証（PoC）エクスプロイトが登場しました。 ### DirtyDecryptの詳細 DirtyDecrypt、またはDirtyCBCとしても知られるこのセキュリティ欠陥は、今月初めに**V12**セキュリティチームによって独自に発見・報告されました。しかし、メンテナーからは既にメインラインで修正済みの重複であるとの通知を受けました。 「私たちは2026年5月9日にこれを発見・報告しましたが、メンテナーからは重複であるとの通知を受けました」と**V12**は述べています。「これはrxgk_decrypt_skbにおけるCOWガードの欠如によるrxgkページキャッシュ書き込みです。詳細はpoc.cを参照してください。」 このセキュリティ欠陥には公式の**CVE** IDは割り当てられていませんが、**Tharros**の主任脆弱性アナリストである**Will Dormann**氏によると、セキュリティ研究者からの情報は、4月25日に修正された**CVE-2026-31635**の詳細と一致しています。 ### 攻撃対象領域 エクスプロイトの成功には、Andrew File System (**AFS**) クライアントおよびネットワークトランスポートのRxGKセキュリティサポートを有効にする`CONFIG_RXGK`設定オプションを持つ**Linux**カーネルを実行している必要があります。 これにより、攻撃対象領域は、**Fedora**、**Arch Linux**、**openSUSE Tumbleweed**など、最新のアップストリームカーネルリリースを密接に追従する**Linux**ディストリビューションに限定されます。ただし、**V12**の概念実証エクスプロイトは、**Fedora**とメインライン**Linux**カーネルでのみテストされています。  *DirtyDecryptエクスプロイトFedoraテスト（Will Dormann）* ### 類似の脆弱性 DirtyDecryptは、Dirty Frag、Fragnesia、Copy Failなど、ここ数週間で開示された他のいくつかのroot権限昇格欠陥と同じ脆弱性クラスに属します。 ### 緩和策 DirtyDecryptの影響を受ける可能性のあるディストリビューションの**Linux**ユーザーは、できるだけ早く最新のカーネルアップデートをインストールすることを推奨します。 ただし、デバイスをすぐにパッチ適用できない場合は、Dirty Fragに使用されたのと同じ緩和策を使用してください（ただし、これはIPsec **VPN**および**AFS**分散ネットワークファイルシステムも破損させます）： ```sh sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true" ``` ### 活発なエクスプロイト これらの開示は、攻撃者がCopy Fail脆弱性を実際に悪用しているという最近の報告に続いています。 **サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）**は、5月1日にCopy Failを攻撃で悪用されている欠陥のリストに追加し、連邦機関に対し、2週間以内、つまり5月15日までに**Linux**デバイスを保護するよう命じました。 「この種の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらします」と、米国サイバーセキュリティ機関は警告しました。 4月には、**Linux**ディストリビューションが、PackageKitデーモンにおける約12年間見過ごされていた別のroot権限昇格脆弱性（Pack2TheRootと名付けられた）のパッチをリリースしました。