Linuxカーネルのcgroups脆弱性(CVE-2022-0492)— 権限昇格・コンテナ脱出に悪用されうる
Linuxカーネルのcgroups v1「release_agent」機能に不適切な認証の脆弱性があり、権限昇格につながる。設定次第ではコンテナからの脱出に悪用されうる。2022年公表だが、CISAが2026年に悪用確認済み(KEV)として掲載(CVSS 7.8 High)。
脆弱性の基本情報
- CVE番号CVE-2022-0492
- CVSS基本値7.8 HIGH
- CVSSベクタCVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- 対象(ベンダー/製品)Linux Kernel
- CWECWE-287, CWE-862
- 悪用状況CISA KEV 掲載(実際の悪用を確認)
- 是正期限2026-06-05(米連邦民生機関・BOD 22-01)
要点
CVE-2022-0492は、Linuxカーネルのリソース制御機構である「cgroups(control groups)」のv1にある「release_agent」機能の権限チェック不備(CWE-287:不適切な認証/CWE-862:認可の欠如)に起因する脆弱性だ。release_agentはcgroupが空になったときに指定プログラムを実行する仕組みで、この実行がホスト側の高い権限で行われる点が悪用される。
影響はローカルでの権限昇格だが、実務上重要なのは「コンテナ脱出」への悪用可能性だ。コンテナがケイパビリティの制限やseccomp/AppArmor等の保護を十分に効かせていない構成だと、コンテナ内の攻撃者がこの脆弱性を使ってホスト上で任意コードを高権限で実行し、コンテナの隔離を破ってホストを掌握できる場合がある。
2022年に公表された脆弱性だが、CISAは2026年6月2日付でKEVに追加した。これは「古い既知の脆弱性であっても、パッチ未適用の環境が現在も悪用されている」ことを示すもので、放置された古いカーネルの危険性を物語る。
【対応の要点】各ディストリビューションが提供する修正済みカーネルへ更新する(多くは既に修正済み)。あわせて、コンテナ実行環境では最小権限の原則を徹底し、不要なケイパビリティ(特にCAP_SYS_ADMIN)を付与しない、seccomp/AppArmor/SELinuxを有効化する、といった多層防御で脱出リスクを下げることが推奨される。連邦民生機関の是正期限は2026年6月5日。
なぜ重要か
コンテナ/Kubernetesを運用する組織にとって、カーネル更新の徹底とコンテナの最小権限設計の見直しが要点。古い脆弱性のKEV入りは、レガシー環境の棚卸しを促す警鐘でもある。
よくある質問(FAQ)
cgroupsとは何ですか?
コンテナを使っていれば必ず危険ですか?
何をすべきですか?
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- ベンダー/参考アドバイザリ
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。