أكدت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) أن ثغرة تصعيد الامتيازات عالية الخطورة في نواة لينكس، المعروفة بـ CVE-2024-1086، يتم استغلالها الآن من قبل عصابات البرمجيات الخبيثة للفدية. الثغرة، وهي مشكلة استخدام بعد التحرير في مكون netfilter: nf_tables، تم إدخالها في فبراير 2014 وتم إصلاحها في يناير 2024. وتؤثر على توزيعات لينكس الرئيسية بما في ذلك Debian وUbuntu وFedora وRed Hat.
في 31 أكتوبر 2025، قامت CISA بتحديث كتالوج الثغرات المستغلة المعروفة (KEV) لتحديد CVE-2024-1086 كمستخدمة بنشاط في حملات البرمجيات الخبيثة للفدية، على الرغم من عدم تقديم تفاصيل حول الهجمات أو المجموعات المسؤولة. تمكن الثغرة المهاجمين المحليين من تصعيد الامتيازات إلى مستوى الجذر، مما قد يسمح باتخاذ السيطرة على النظام، وتعطيل الدفاعات، وتعديل الملفات، وتثبيت البرمجيات الضارة، والحركة الجانبية في الشبكة، وسرقة البيانات.
تم الكشف عن الثغرة في 31 يناير 2024، وتم إصلاحها من خلال التزام نواة في ذلك الشهر، لكنها نشأت من تغيير قبل عقد من الزمن. في أواخر مارس 2024، نشر الباحث الأمني 'Notselwyn' تحليلاً مفصلاً وأداة استغلال مفهوم الإثبات على GitHub، مظهراً تصعيد الامتيازات في نوى لينكس من الإصدارات 5.14 إلى 6.6. يؤثر المشكل في نوى من 3.15 إلى 6.8-rc1 عبر توزيعات مختلفة.
أضافت CISA الثغرة إلى كتالوج KEV في مايو 2024 —على الرغم من أن تقريراً يشير إلى مارس 2024— وألزمت الوكالات الفيدرالية بتطبيق التصحيحات بحلول 20 يونيو 2024. بالنسبة للأنظمة غير المصححة، تشمل الإجراءات الوقائية الموصى بها حظر قائمة الوحدة 'nf_tables' إذا لم تُستخدم، وتقييد الوصول إلى مساحات أسماء المستخدم، أو تحميل وحدة Linux Kernel Runtime Guard (LKRG)، والتي قد تسبب عدم استقرار.
"هذه الأنواع من الثغرات هي متجهات هجوم شائعة للفعاليات السيبرانية الضارة وتشكل مخاطر كبيرة على المؤسسة الفيدرالية"، قالت CISA. "طبق الإجراءات الوقائية وفقاً لتعليمات المورد أو أوقف استخدام المنتج إذا لم تكن الإجراءات الوقائية متاحة."
لاحظ Notselwyn تحديات في الاستغلال: "عندما تحاول إعادة إنتاج الخلل بنفسك، قد يحدث ذعر في النواة، حتى عند تعطيل جميع الإجراءات الوقائية... وجدت طريقة لتجاوز جميع الاستخدامات التي قد تؤدي إلى ذعر أو أخطاء عادية والحصول على بدائية إطلاق مزدوج موثوقة للغاية."