CISAはLinuxのコピー失敗の脆弱性を悪用されたバグリストに追加

新たに公開されたLinuxのセキュリティ脆弱性が、攻撃者が影響を受けたシステムでrootアクセスを得るために小さなPythonスクリプトを使用できると研究者が警告したことで、米国のサイバー当局の注目を集めている。

概要

• CISAは、Linuxの悪用が報告された後、Copy Failを悪用された脆弱性リストに追加した。
• 研究者は、攻撃者がこの脆弱性を利用してroot権限を得る前に、事前にコードアクセスが必要だと述べた。
• クリプト交換所やノードは、多くの重要なシステムが影響を受けるディストリビューションを実行しているため、Linuxの露出を見直す可能性がある。

この脆弱性は、Copy Failとして知られ、CVE-2026-31431として追跡されており、2017年以降にリリースされた多くのLinuxディストリビューションに影響を与える。CISAは、この脆弱性を積極的に悪用されているリスクを理由に、既知の悪用された脆弱性カタログに追加した。

Copy Failは、Linuxカーネルのローカル特権昇格の脆弱性であり、単独ではリモートアクセスを提供しない。攻撃者は、脆弱性を利用してroot権限を得る前に、すでにシステム上でコード実行権を持っている必要がある。

セキュリティ研究者は、この脆弱性がUbuntu、Red Hat、SUSE、Amazon Linuxなどの主要なLinuxディストリビューションに影響を与えると述べた。Microsoftも、この脆弱性がクラウドワークロードやKubernetes環境に影響を与える可能性があると警告している。

研究者が簡単なエクスプロイト経路を警告

TheoriとXint Codeは、この問題をLinuxカーネルの暗号サブシステムに関連付けた。研究者は、このバグにより、攻撃者が読み取り可能なファイルのインメモリページキャッシュを破損させることができると述べた。

研究者のMiguel Angel Duranは、このエクスプロイトは非常に単純で、「10行のPython」だけで影響を受けたシステムでrootアクセスを得られる可能性があると説明した。別の研究者は、この脆弱性を「狂っている」と表現し、エクスプロイトの規模が非常に小さいことに懸念を示した。

さらに、CISAは5月1日にCVE-2026-31431を既知の悪用された脆弱性カタログに追加した。同機関は、Linuxカーネルに誤ったリソース移転の脆弱性があり、特権昇格を可能にする可能性があると述べている。

KEVリストに掲載されていることは、連邦民間機関がCISAの修正タイムラインに従う必要があることを意味する。民間企業も、公開されたエクスプロイトコードが存在する場合、パッチ適用作業の優先順位付けにこのカタログを利用することが多い。

暗号企業はLinuxの露出を見直す可能性

Linuxは、多くの暗号交換所、ブロックチェーンノード、バリデータ、カストディアン、クラウドベースの取引システムを支えている。そのため、影響を受けたディストリビューション上で重要なインフラを運用している企業にとって、パッチ適用は重要となる。

この脆弱性は、暗号ウォレットやブロックチェーンを直接ターゲットにしているわけではない。しかし、攻撃者が最初にLinuxサーバーにアクセスし、その後Copy Failを利用してroot制御を得ることでリスクが生じる可能性がある。

TheoriのCEO、Brian Pakは、チームがこの脆弱性を3月23日にLinuxカーネルのセキュリティチームに非公開で報告したと述べた。パッチは4月1日にメインラインカーネルに適用され、CVEは4月22日に割り当てられた。

セキュリティ企業は、利用可能な場合はパッチ済みのカーネルを適用するようユーザーに促している。Sophosは、公開されたPoC（概念実証）エクスプロイトコードが存在し、多くのテナントLinuxホストやコンテナプラットフォームの修正を優先すべきだと述べている。