### PinTheft：RDS Zerocopy Double-Free **V12** セキュリティチームによって **PinTheft** と名付けられたこの脆弱性（まだ **CVE** ID は未定）は、Linux カーネルの **RDS**（Reliable Datagram Sockets）実装に存在します。この欠陥は zerocopy double-free であり、今月初めにパッチが適用されました。 **V12** はアドバイザリで、「PinTheft は、io_uring 固定バッファを通じてページキャッシュの上書きに転用可能な RDS zerocopy double-free に対する Linux ローカル権限昇格エクスプロイトです」と述べています。 この脆弱性は、ユーザーページを個別にピン留めする `rds_message_zcopy_from_user()` 関数に起因します。後続のページフォルトが発生した場合、エラーパスで既にピン留めされたページが不適切に解放されます。その後、RDS メッセージのクリーンアップ中にこれらのページが再度解放され、double-free 状態が発生します。 ### PoC エクスプロイトと要件 **V12** は、double-free を利用して `FOLL_PIN` 参照を盗む PoC エクスプロイトを公開しました。これにより、最終的に **io_uring** が盗まれたページポインタを保持できるようになり、root シェルが得られます。 ただし、正常なエクスプロイトには特定の条件が必要です。 * **RDS** モジュールがロードされていること。 * **io_uring** Linux I/O API が有効になっていること。 * 読み取り可能な SUID-root バイナリが存在すること。 * 含まれる payload は x86_64 アーキテクチャが必要。 これらの要件により、攻撃対象領域は大幅に狭まります。**V12** は、一般的なディストリビューションの中で **RDS** モジュールがデフォルトで有効になっているのは **Arch Linux** のみであると指摘しています。 ### 緩和策 影響を受けるディストリビューションのユーザーは、最新のカーネルアップデートを速やかに適用することを推奨します。即時の緩和策として、以下のコマンドを使用してエクスプロイトを防ぐことができます。 ```bash rmmod rds_tcp rds printf 'install rds /bin/false\ninstall rds_tcp /bin/false\n' > /etc/modprobe.d/pintheft.conf ``` ### 最近の LPE 脆弱性 この開示は、最近発見された一連の Linux ローカル権限昇格（LPE）脆弱性に続くものです。研究者たちは、**DirtyDecrypt** および **DirtyCBC** 脆弱性の PoC エクスプロイトも公開しています。これらは、**Dirty Frag**、**Fragnesia**、**Copy Fail** を含む他の root 権限昇格の欠陥と同じ脆弱性クラスに属します。 また、脅威アクターが **Copy Fail** 脆弱性を実際に悪用し始めているとの報告もあります。**サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）** は、**Copy Fail** を既知の悪用済み脆弱性リストに追加し、政府機関に Linux システムのパッチ適用を義務付けました。 先月、Linux ディストリビューションは、10 年以上にわたって検出されなかった **PackageKit** デーモンの root 権限昇格脆弱性である **Pack2TheRoot** のパッチを発行しました。  ## 検証のギャップ：自動ペネトレーションテストは 1 つの質問に答える。あなたには 6 つが必要。 自動ペネトレーションテストツールは真の価値を提供しますが、それらは 1 つの質問に答えるために構築されました：攻撃者はネットワークを横断できるか？それらは、あなたの制御が脅威をブロックするか、検出ルールが発火するか、クラウド設定が保持されるかをテストするために構築されたものではありません。 このガイドでは、実際に検証する必要がある 6 つのサーフェスについて説明します。 [今すぐダウンロード](https://hubs.li/Q048zztN0)