技術的な説明
Linux カーネルの暗号化サブシステム(algif_aead モジュール)における決定論的なロジックの欠陥により、権限のないローカル攻撃者が共有カーネルページキャッシュを破損させることで root 権限昇格を実現できます。この脆弱性は Kubernetes クラスタとコンテナプラットフォームに影響を与え、共有ページキャッシュにより、侵害されたコンテナはファイル整合性チェックをトリガーせずにホスト上の特権実行可能ファイルのメモリ内コピーを変更できます(物理ファイルは変更されないため)。CISA は 2026 年 5 月 1 日に CVE-2026-31431 を KEV カタログに追加し、修復期限は 5 月 15 日です。
攻撃経路
暗号化操作中の TOCTOU フローを悪用する 732 バイトの Python スクリプトによるローカル権限昇格。エクスプロイトは正当なバッファ領域を超えて 4 バイトの制御可能なデータをシステムファイルページキャッシュに直接書き込み、ディスクファイルはそのままにしながら信頼できる実行可能ファイル(sudo、su)をメモリ内で変更できます。変更なしでメジャーディストリビューション全体で確定的に動作します。
影響を受けるシステム
Linux カーネル 4.14 ~ 6.19.12(2017~2026)。マルチテナント Linux ホスト、Kubernetes クラスタ、コンテナプラットフォーム、CI/CD ランナー、およびユーザー提供コードを実行するクラウド SaaS 環境が最も高いリスクにさらされています。Ubuntu 24.04 LTS、Amazon Linux 2023、RHEL 10.1、および SUSE 16 が脆弱であることが確認されています。
緩和策
ベンダー発行のカーネルアップデートを直ちに適用してください。暫定的な回避策:'echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf' 経由で algif_aead カーネルモジュールをブラックリストに登録し、'rmmod algif_aead' を実行します。Microsoft は 2026 年 5 月 1 日時点で、悪用がプルーフオブコンセプトテストに限定されたままであることを指摘しています。