By Vit Sembera (Senior Threat Researcher, Automotive)
新たに公開されたLinuxの特権昇格の脆弱性であるCVE-2025-6019は、現代の自動車サイバーセキュリティにおける不変の真実—かつて従来のITシステムに限られていた脆弱性が、コネクテッドカーにも入り込むようになっているという現実―を再認識させるバグのひとつです。この特定の欠陥は、udisks2やPolkitと共に広く使用されているlibblockdevライブラリで発見されたもので、一見普通のLinuxのバグがバックエンドシステムや、最近ではポピュラーとなったAutomotive Grade Linux (AGL)のようなインビークル・プラットフォームにどのようなリスクをもたらすかを例証するものです。ソフトウェア・デファインド・ビークル(SDV)アーキテクチャの急速な出現により、これらのリスクはもはや仮説ではなくなってきています。
CVE-2025-6019:技術概要
CVE-2025-6019は、libblockdevおよびudisks2サービスを使用するLinuxディストリビューションに影響するローカル特権昇格(LPE)の脆弱性です。この問題は、allow_active Polkit特権(通常、コンソールユーザーに付与される)を持つ非特権ユーザーが、SUID rootシェルを含む悪意のあるXFSイメージをマウントするようにシステムを騙す場合に発生します。マウントはnosuid,nodevセーフガードなしで実行されるため、攻撃者はSUIDシェルを実行してroot権限を得ることができます。
この脆弱性は、マウントプロセスに対する追加の制御権を付与する別の脆弱性であるCVE-2025-6018と連鎖するため、特に危険です。これら2つの脆弱性を組み合わせることで、ローカルユーザーからrootへ特権を昇格させることが可能だからです。
Red Hat、Ubuntu、SUSEを含むほとんどの主要Linuxベンダーは、勧告とパッチを発行しています。しかし、AGLのようなこれらの基盤の上に構築されたオープンソースプロジェクトは、開発元が追加した修正を迅速に採用しない限り、危険にさらされ続ける可能性があります。
サーバールーム以外への影響:自動車のリスク要因
歴史的に、CVE-2025-6019のようなLinuxの脆弱性は、テレマティクス・サービス、OTA(Over-The-Air)アップデート・プラットフォーム、またはDevOpsパイプラインを実行しているOEMやTier-1/2/3データセンターなどのバックエンド・インフラにとって最大の関心事でした。しかし、自動車業界におけるITとOT(運用技術)の融合、特にSDVとクラウドネイティブなE/E(電気/電子)アーキテクチャは、潜在的な爆発範囲を劇的に広げます。
AGLはオープンソースのLinuxベースのプラットフォームで、コックピットドメインやインフォテインメントシステム、さらには自動車の特定のセントラルコンピューティングユニットでも使用されることが多くなっています。AGLは、Polkit、udisks2、libblockdevなどのコアLinuxサービスをシステムイメージに組み込んでいます。現状のリリース(AGL Lampreyなど)では、これらのパッケージは脆弱性が残ったままのバージョンで提供されています。
この危険性は、生産後にも動的に再構成できるように設計されているSDVに於いては、さらに増大します。車両は、サービス提供や機能アップデートの一環として、新しいソフトウェアパッケージ、コンテナ化されたアプリケーション、ファイルシステムイメージを受け入れるかもしれません。特権境界の設定ミス、あるいは本来アクセス制限されている攻撃者がCVE-2025-6019を悪用して特権を昇格させた場合、車両の重要な操作を妨害する可能性があります。
攻撃ベクターの例:USBインターフェースからインビークルのroot権限へのアクセス
USBメンテナンスポートが(設計上または設定の見落としにより)露出している、あるいはデバッグ・コンソールが誤ってアクティブのままになっている量産車両を考えてみましょう。あるいは、攻撃者は、車載アプリケーションの別の脆弱性を介して、すでに限定的なアクセスを獲得しているかもしれません。
攻撃経路は以下のようになります:
- 攻撃者は、SUID-rootシェルを埋め込んだ悪意のあるXFSイメージを含むUSBフラッシュドライブを挿入します。
- 攻撃者は、デバッグ・コンソール、公開アプリ、または以前に連鎖したエクスプロイトを通じて得た非特権ユーザーアクセスで、
udisks2をトリガーしてUSBデバイスをマウントします。 - Polkitルールが不十分で
nosuid,nodevオプションがないため、システムはSUIDパーミッションのままUSBイメージをマウントします。 - 攻撃者はマウントされたイメージからSUIDシェルを実行し、完全なroot権限を獲得します。
- AGLベースのシステムでroot権限を獲得すると、攻撃者はホストベースのセキュリティ機能を無効にしたり、永続的なバックドアをインストールしたり、内部イーサネットやCANバスブリッジを介してより機密性の高い車両ドメインに移動したりすることができてしまいます。
別の攻撃ベクター:OTAアップデートパッケージ内の悪意のあるボリューム
より遠隔の攻撃手段としては、攻撃者がSDVのOTAパイプラインの弱点を突くことが考えられます。OTAアップデートパッケージに任意のボリュームまたはディスクイメージが含まれており、アセット配信またはサンドボックス実行用にマウントされることを意図しているとします。適切なnosuid,nodevマウントフラグが強制されず、Polkitまたはudisks2パーミッションが過度に寛容である場合、悪意のある行為者は、マウント時に実行される細工されたXFSボリュームを挿入することが予想されます。
このシナリオは、バックエンドのDevOpsインフラストラクチャ(CI/CDパイプラインやサプライチェーンの妥協など)から、特に車両が動的アップデートを受信するように構築されている場合に、特権の昇格がどのように本番車両に波及するかを想像すると深刻です。
Automotive Grade Linux:脆弱性
VicOneの分析によると、AGLディストリビューション(例えば、Lamprey 12.1.11)には、libblockdev(2.24)、udisks2(2.8.4)、Polkit(0.116)の脆弱なバージョンが同梱されていることが確認されています。デフォルトのPolkitポリシーでは、allow_activeユーザーがマウント操作を実行することが許可されており、エクスプロイトのスコープに直接入ってしまいます。
車両内でのコンソールレベルのアクセスは制限されていますが、開発環境、車両整備工場、またはオンボード診断(OBD-II)ポートやUSBメンテナンスポートを介したデバッグ中に物理的なアクセスができないわけではありません。さらに、将来のSDVは、適切にサンドボックス化されていない場合、同様の機能がリモートで公開される可能性があります。
脅威の検出と緩和
検出技法
- 非rootユーザーからのマウント操作を含むPolkit認証ログを監視します。
- マウントされたファイルシステムからのSUIDバイナリの作成または実行を監視します。
- ホストベースの侵入検知システム(IDS)を使用します:
- 予期しないファイルシステムタイプでの異常なUSBブロックデバイスのマウントを検出します。
- マウントされたメディアからのバイナリの実行を検出します。
- Polkitベースの特権昇格の試みを検出します。
- ブロックデバイスが関与する特権境界違反を警告します。
推奨される対策
- AGLコンポーネントに速やかにパッチを適用します。 AGLを使用するインテグレーターやOEMは、
libblockdevやudisks2などのコア・パッケージに対する開発元が提供するセキュリティ・パッチを追跡し、適用する必要があります。これを怠ると、本番環境でもLPE攻撃を受ける可能性があります。 - Polkitポリシーの強化。
udisks2のパーミッションを管理ユーザーのみに制限します。デバイスのマウントやファイルシステムの変更に明示的な管理者認証が必要になるようにPolkitのルールを変更します。 - SDV更新パイプラインを監査します。 受信するファイルシステムのイメージまたはソフトウェアパッケージが検証、スキャン、サンドボックス化されていることを確認します。絶対に必要な場合を除き、
nosuid,nodevオプションなしでイメージをマウントしないようにします。 - 開発者およびメンテナンス・インターフェースの保護。 開発車両と実稼働車両の両方で、デバッグポートやコンソールインタフェースへの物理的なアクセスを制限します。実行可能な場合は、役割ベースのアクセス制御を実装します。
- VSOCを脅威インテリジェンスに活用。 車両セキュリティ・オペレーション・センター(VSOC)を使用して、車両間のイベントを相互に関連付け、一斉攻撃の兆候を検出し、車両のソフトウェア・ベースライン全体にわたる潜在的な危険性を評価できるようにします。
脅威マトリックス(Auto-ISAC ATMマッピング)
| 手法 | 技法名 | ATM ID | 説明 |
|---|---|---|---|
| 初期アクセス | リムーバブルメディア経由のエクスプロイト | ATM-T0013 | 攻撃者が、悪意のあるXFSイメージでUSBフラッシュドライブを挿入する。 |
| 初期アクセス | ソフトウェアサプライチェーン経由のエクスプロイト | ATM-T0012 | 侵害されたOTAアップデートまたはビルド成果物に悪意のあるボリュームが含まれている。 |
| 実行 | リムーバブルメディア経由の実行 | ATM-T0008 | 悪意のあるシェルが、マウントされたUSBファイルシステムから実行される。 |
| 特権の昇格 | 特権昇格の脆弱性を悪用 | ATM-T0004 | udisks2 + Polkit コンボが特権昇格のために悪用される。 |
| 防御回避 | セキュリティソフトの無効化、改変 | ATM-T0024 | セキュリティモニタリング(例:xCarbon)やロギングサービスが無効化される。 |
| 永続性 | ルートキットまたはバックドアのインストール | ATM-T0018 | 攻撃者が侵害後に永続化メカニズムをインストールする。 |
| ラテラルムーブメント | 内部ネットワークを悪用 | ATM-T0017 | 侵害されたECUがCAN/Ethernet経由で横方向にスキャンまたは移動しようとする。 |
| 影響 | 車両ソフトウェアの変更 | ATM-T0015 | 攻撃者がシステム設定またはパッケージを変更し、機能に影響を与える。 |
結論
CVE-2025-6019は、単なるLinuxの特権昇格にとどまらず、SDVが本質的にタイヤの付いたコンピューターであることを明示しています。自動車業界がより多くのオープンソースやLinuxベースのスタックを採用するにつれ、Linuxコアサービスで発見される脆弱性は、開発から配備に至るまで、自動車のライフサイクル全体にますます影響を及ぼすようになるでしょう。
OEM、Tier-1サプライヤ、プラットフォーム・プロバイダは、インビークルLinuxシステムをエンタープライズ・サーバーと同じように注意深く扱う必要があります。これは、タイムリーなパッチ適用、適切な権限分離、厳格なサプライチェーンセキュリティを意味します。
VicOneは、自動車関連のCVEを監視し続け、すべての関係者がこれらの進化する脅威に先手を打つことを強く求めています。
