Copy.Fail と Dirty Flag と xlabs_v1 — 侵入のリモート観測と LPE 対策、ハニーポット運用者の両輪
2026 年 5 月の同じ週に、こんな組み合わせを見た。 The Hacker News の xlabs_v1 ボットネット記事 → ELK で確認したら、まったく同じサブネットから 11,000 件超の攻撃を観測済みだった Copy.Fail と Dirty Flag という Linux kernel のローカル特権昇格脆弱性が立て続けに公開 後者にはまだ CVE 番号すら付いていない リモートからの侵入観測と、侵入後の権限昇格対策は、本来なら別々の話に見える。けれど自分のように VPS にハニーポットを置いている側からすると、入口(攻撃の流入)と出口(侵入されたら何が起きるか)は地続きに見える。 今回は 「公式パッチを待つ間に kernel LPE を modprobe blacklist で塞ぐ」 というシンプルな手順のメモを書く。ついでに、その動機になった xlabs_v1 の話も軽くだけ触れる。 1. 入口の話:xlabs_v1 を ELK で照合してみた 5/7、The Hacker News が xlabs_v1 という Mirai 派生ボットネットの記事を出した。ADB(Android Debug Bridge、5555/tcp)経由で IoT デバイスを乗っ取り、DDoS-for-hire(Minecraft 等のゲームサーバを標的にした 21 種のフラッド変種を備える)として運用されるやつだ。 C2 は 176.65.139[.]44(AS51396 Pfcloud, ルクセンブルク)。 「あ、これ前にも見たことあるサブネットじゃん」となった。 ローカル ELK で同サブネット 176.65.139[.]0/24 を引いてみたら、こんな感じだった。 ...