Linuxカーネルの権限昇格バグ「PinTheft」：RDSとio_uringの組み合わせでroot取得が可能に

PinTheftの原因：RDS zerocopy実装のメモリ管理バグ

問題の中心は、Linuxカーネルの RDS（Reliable Datagram Sockets） にあります。これは主に InfiniBandなどの高性能クラスタ環境や分散システムで利用されるネットワークプロトコルです。

脆弱性は **RDSの「zerocopy送信処理」**に存在します。zerocopyは、ユーザー空間メモリから直接データを送信し、余分なメモリコピーを避けることで性能を向上させる仕組みです。

この処理で使われる rds_message_zcopy_from_user() 関数は、送信前にユーザーメモリのページを1枚ずつ「pin（固定）」します。しかし途中で ページフォルトが発生した場合のエラーハンドリングに欠陥があり、既に固定されているページを誤って解放してしまうケースがあります。

その結果、次のような状態が生まれます。

• 同じメモリページが **二重解放（double‑free）**される
• 参照カウントが壊れる
• まだ使われているメモリが再利用可能になる

このメモリ管理の破綻が、権限昇格の足がかりになります。

PinTheftエクスプロイトの仕組み（概要）

研究者が公開した攻撃チェーンは、複数のカーネル機能を組み合わせて成立します。

1. RDS zerocopyのダブルフリーを発生させる

攻撃者はRDSの脆弱なコードパスを実行させ、ページピンニング中にページフォルトを誘発します。

その結果、エラー処理で 既に使用中のページが誤って解放され、カーネル内部のメモリ状態が破壊されます。

2. io_uring固定バッファで解放ページを再取得

次に攻撃者は **io_uring の fixed buffers（固定バッファ）**を利用します。これは高性能非同期I/Oのために、ユーザー空間のメモリをカーネルに登録する仕組みです。

攻撃者が細かく制御することで、先ほど解放された物理ページを再割り当てさせることができます。

3. ページキャッシュ書き換えプリミティブへ変換

再利用されたページが **ページキャッシュ（ファイルデータのメモリキャッシュ）**に対応している場合、攻撃者は次のことが可能になります。

• ディスク上のファイルは変更せず
• カーネルがメモリから返す ファイル内容だけを書き換える

つまり **ページキャッシュを書き換える原始操作（overwrite primitive）**を得ることになります。

4. SUID-rootバイナリを書き換えてroot取得

公開された攻撃では、この能力を使って SUID-root実行ファイルのキャッシュ内容を書き換えます。

SUIDファイルは通常、実行時に 所有者（root）の権限で動作します。ページキャッシュの内容が改変された状態でその実行ファイルが読み込まれると、

• 改ざんされたコードが実行される
• しかし権限は rootのまま

結果として、攻撃者は rootシェルを取得できます。

影響を受けやすいシステム

理論的には多くのLinux環境で成立し得ますが、実際の影響度は設定によって大きく変わります。

Arch Linux

公開されたPoCは Arch Linux環境で動作確認されており、早期の検証対象になりました。

理由としては以下が挙げられます。

• カーネル構成によってRDSモジュールが利用可能
• io_uringなど新しいカーネル機能が利用されやすい

RDSモジュールが有効なLinux

どのディストリビューションでも、以下の条件が揃えば理論上影響を受けます。

• 脆弱なカーネルバージョン
• RDSカーネルモジュールがロード可能または有効

標準的なエンタープライズ構成

報告では、次のディストリビューションの 標準設定ではRDSが有効でない場合が多いとされています。

• Ubuntu
• Debian
• RHEL
• AlmaLinux

ただし実際の影響は カーネル設定やモジュール構成次第のため、環境ごとに確認が必要です。

CloudLinux

CloudLinuxの検証では、公開されたPoCは同プラットフォームでは 影響を受けないことが確認されたと報告されています。

攻撃成立に必要な条件

PinTheftが成立するには複数の条件が必要です。

• 攻撃者が ローカルでコード実行できること
• 脆弱なLinuxカーネルが稼働していること
• RDSモジュールがロード可能または有効であること
• 非特権ユーザーがio_uringを使用可能であること
• 攻撃対象となる SUID-rootバイナリが存在すること

これらが揃わない場合、攻撃は成立しないか、難易度が大きく上がります。

管理者向け対策

カーネルアップデート

最も重要な対策は 修正パッチを含むカーネルへの更新です。

カーネル更新後は 再起動しないと修正は適用されません。

RDSモジュールを無効化

RDSを使用していない環境では、モジュールを無効化することで攻撃面を減らせます。

例:

• rds モジュールをブラックリスト化
• 自動ロード設定を削除

非特権io_uringの制限

攻撃チェーンは io_uring fixed buffersを利用するため、可能な場合は 非特権ユーザーのio_uring利用を制限します。

SUIDバイナリの監査

不要な SUID-rootファイルを削減すると、権限昇格の最終ターゲットを減らせます。

共有環境の優先パッチ

PinTheftは ローカル実行が前提のため、特に以下の環境では優先的な対策が必要です。

• CI/CDランナー
• 共有ホスティング
• 開発サーバー
• マルチユーザーLinux環境

セキュリティ的な教訓

PinTheftは、近年のLinuxカーネル攻撃の特徴をよく示しています。

• 単一のバグではなく
• 複数の高度なカーネル機能を連鎖させる攻撃

今回の場合は

• RDSネットワークサブシステム
• io_uring非同期I/O
• ページキャッシュ

という複数の仕組みを組み合わせて、最終的に root権限取得へ到達します。

そのため、基本的な防御としては

• カーネルを常に最新に保つ
• 不要なモジュールをロードしない
• 権限境界を最小化する

といった運用が、依然として最も効果的な対策とされています。