CISA、悪用されたLinuxカーネルバグの緊急パッチを命令

米国サイバーセキュリティおよびインフラセキュリティ庁（CISA）は、Linuxカーネルの重大な脆弱性（CVE-2024-53104）に迅速に対処するよう連邦機関に指示を出しました。

この高危険度の欠陥は、AndroidカーネルのUSBビデオクラス（UVC）ドライバに影響を及ぼし、標的攻撃で積極的に悪用されています。

知らない方のために、CVE-2024-53104はLinuxカーネルのUSB UVCドライバに影響を与える特権昇格のセキュリティ欠陥です。

この問題は、uvc_parse_format関数内でUVC_VS_UNDEFINEDとしてラベル付けされたフレームの不適切な解析から生じ、フレームのバッファサイズが誤って計算され、境界外書き込みが発生する可能性があります。

この脆弱性が成功裏に悪用されると、認証された攻撃者が特権を昇格させ、脆弱なAndroid電話上で任意のコードを実行したり、影響を受けたシステムでサービス拒否状態を引き起こしたり、システムクラッシュを引き起こすことができます。

この脆弱性の悪用が進行中であることを受けて、CISAはCVE-2024-53104を既知の悪用脆弱性（KEV）カタログに追加しました。

同庁は、2021年11月の拘束的運用指令（BOD）22-01に従い、すべての連邦民間執行機関（FCEB）に対し、Linuxカーネルの脆弱性を軽減し、潜在的な脅威からネットワークを保護するために、2025年2月26日までにパッチを適用するよう義務付けています。

「この種の脆弱性は悪意のあるサイバーアクターによる頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらします」とCISAは水曜日に警告を発しました。

CISAはまた、民間組織やユーザーに対し、CVE-2024-53104に関連するリスクを軽減するために、LinuxディストリビューションやAndroidデバイスを最新バージョンに更新するよう勧告しています。

昨日の報告で述べたように、Googleは48の脆弱性に対処する2025年2月のセキュリティ更新をリリースしました。その中にはCVE-2024-53104も含まれています。

同社は、この欠陥の「限られた、標的を絞った悪用」の兆候を示し、Androidデバイスのセキュリティを向上させるためのパッチを提供しました。

しかし、ユーザーは重大なセキュリティ脅威から自分のデバイスと自分自身を守るために、最新のセキュリティ更新を迅速にインストールすることを強く推奨されています。