Linuxカーネルのバージョン4.9以降におけるネットワーク関連のシステムコールに、DoS攻撃を許してしまう脆弱性が存在しているという。カーネギーメロン大学(CMU)のセキュリティ研究機関であるCERT Coordination Center(CERT/CC)の研究者らが警告した。
米国時間8月6日付けで公開されたCERT/CCの情報によると、Linuxカーネルのこれらのバージョンは「受信したすべてのパケットに対して、tcp_collapse_ofo_queue()とtcp_prune_ofo_queue()という極めてコストのかかる呼び出しを実行するように仕向けられるため、DoS攻撃につながるおそれがある」という。
CERT/CCは、影響を受ける可能性があるネットワーク機器ベンダーや、PCやサーバのメーカー、モバイル機器ベンダー、OSメーカーのリストを公開しているが、実際に影響を受けるかどうかは確認していないという。とは言うものの、Linuxは広く普及しており、この脆弱性はAmazonやAppleから、UbuntuやZyXELに至るまでのあらゆるベンダーに影響を及ぼす可能性があることが示唆されている。
攻撃者は、接続が確立されているTCPセッションに対して、特殊な仕掛けを施したパケットを送信することで、遠隔地からでもDoS攻撃を遂行できる。ただし、こうしたDoS攻撃の条件を満たすうえで攻撃者は、到達可能なオープンポート上で、双方向のTCPセッションを確立している必要がある。
CERT/CCのTrent Novelly氏によると、こうした条件があるため、偽の(つまり、なりすました)IPアドレスを使った攻撃は実行できないという。
「CVE-2018-5390」という脆弱性識別番号が割り当てられたこの脆弱性はRed Hatによって「SegmentSmack」と命名されている。
この「コストのかかる」TCP呼び出しにより、影響を受けるシステムのCPUが飽和状態になる結果、DoS攻撃と同じ状況が生み出される。法人向けLinuxのディストリビューターであるRed Hatによると、攻撃者は「(自らの)受信ネットワークの帯域幅が比較的小さくても」攻撃を実行できるという。
Red Hatは同社ウェブページにおいて、「最悪のシナリオでは、攻撃者は2000パケット/秒未満の攻撃トラフィックで、影響を受けるホストやデバイスを停止に追いやることができる」と説明している。
また同社は「4つのストリームを用いたこの攻撃により、4つのCPUコアが完全に飽和したような状態になり、ネットワークパケットの処理に遅延がもたらされる」とも記している。
Red Hatによると、同社の「Red Hat Enterprise Linux」(以降RHELと表記)で影響を受けるシステムには、「RHEL 6」および「RHEL 7」「RHEL 7 for Real Time」「RHEL 7 for ARM64」「RHEL 7 for for IBM Power」「RHEL Atomic Host」が含まれているという。
管理者にとって頭が痛いことに、Red Hatは「現時点で考えられる回避策/緩和策としては、カーネルの修正以外に効果的な手はない」と記している。
編集部注(2018/8/10):
脆弱性の判明を受けてLinuxカーネルの脆弱性を修正するパッチはリリースされており、一部ディストリビューションも対応している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。