CVE-2016-0728はスマホや IoT機器、社内サーバにも影響あり

Linux のカーネルに見つかった脆弱性CVE-2016-0728はスマホや IoT機器、社内サーバなど幅広い機器に影響がありそうです。

インターネット上に公開されていない社内サーバでも、というのですが、そんなにまずい状況なのでしょうか。

イスラエルのセキュリティ企業「Perception Point」が見つけたLinuxカーネルの脆弱性ですが、広範囲に影響がありそうです。

そもそもカーネルとはLinux OSの中核部分のことになるのですが、そんな中核部分に脆弱性が見つかったのでLinuxが実行されている環境であればすべてが影響を受けることになります。

あまり、Linux自体にはなじみがない人も多くいると思いますが、LinuxはスマホのAndroid端末やIoTでも普通に使われているので、影響はかなり大きそうです。

今回の脆弱性はローカルの管理者権限の取得ができてしまう権限昇格の脆弱性。

要は乗っ取れるということですね。

本来であれば権限がないため実施できないことができるようになってしまうので、組織内のネットワークに侵入でもされたら最後、権限が奪われて深刻な被害を引き起こすことにもなりかねません。

ネットワークに侵入されたら公開されていないイントラ用のサーバでもターゲットになりえますので、社内のサーバだから安心なんてことはありません。

サーバ以外でスマホで言うと今回の脆弱性を発見したPerception Point によるとAndroid端末の約66% がこの脆弱性の影響を受けると言っています。

Google はそんなことないと言っているようけどね。

対策としてはすでに出ている対策プログラムを当てればよいわけですが、AndroidはまだしもIoT機器が問題です。

（Linuxカーネルはすでに更新されていて、Linux Kernel Organizationでは修正プログラムを提供し始めているとのこと）

でも、問題はAndroidもサポート終了で対策プログラムが適用されないものもあるでしょうし、IoT機器に限っては、そもそも対策プログラムを適用できないものもあるとか。

そうなるとこの脆弱性をもったままの端末がかなりの数で残ることになります。

IoT機器は今後もどんどん新機種が発売されるでしょうが、「修正パッチを当てられるか」というのも製品選択時の重要な要素になりますね。