أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية تحذيراً عاجلاً بشأن CVE-2024-1086، وهي ثغرة حرجة في نواة لينكس يستغلها المهاجمون بنشاط لنشر الرنسوموير. تسمح هذه العيب في الاستخدام بعد التحرير للمهاجمين بتصعيد الامتيازات إلى مستوى الروت في الأنظمة المتضررة. يُحث المنظمات في جميع أنحاء العالم على تطبيق التصحيحات فوراً لتخفيف التهديد.
الثغرة، المسجلة باسم CVE-2024-1086، هي مشكلة استخدام بعد التحرير في مكون netfilter في نواة لينكس، وتحديداً في نظام nf_tables. تتيح تصعيداً محلياً للامتيازات، مما يسمح للمهاجمين الذين لديهم وصول أولي بالحصول على امتيازات الروت وسيطرة كاملة على الآلات المتضررة. مصنفة تحت CWE-416، تنبع العيب من التعامل غير السليم مع الذاكرة في وظائف مثل nft_verdict_init() وnf_hook_slow()، مما يؤدي إلى تلف الذاكرة وتنفيذ كود تعسفي في مساحة النواة.
تم إدخالها أصلاً في نواة لينكس في عام 2014، وتؤثر CVE-2024-1086 على الإصدارات من 3.15 إلى 6.8 rc1، مما يؤثر على التوزيعات الرئيسية مثل Debian وUbuntu وFedora وRed Hat. تم إصدار تصحيح في يناير 2024، وتم إضافة المشكلة إلى كتالوج الثغرات المستغلة المعروفة لـCISA في مايو 2024. اكتشفت شركة الأمن CrowdStrike محاولات الاستغلال لأول مرة في أبريل 2024، ثم قيّمت المخاطر كحرجة بعد ظهور كود استغلال عام عبر الإنترنت.
قام مشغلو الرنسوموير بدمج هذه الثغرة في سلاسل هجماتهم لتعطيل حمايات نقاط النهاية، وتشفير الملفات، وحذف النسخ الاحتياطية، والتحرك جانبياً عبر الشبكات. وجود الثغرة في أنظمة لينكس المستخدمة على نطاق واسع يزيد من المخاطر للبيئات الشركاتية وبنية التحتية السحابية ومراكز البيانات. أمرت CISA الوكالات المدنية الفيدرالية التنفيذية بتطبيق التصحيحات أو التوقف عن استخدام الأنظمة المتضررة، مع التوصية بأن جميع المنظمات تعطي الأولوية لإدارة الثغرات بناءً على كتالوج KEV.
يجب على مدافعي الشبكات إحصاء أنظمة لينكس، وتحديد النوى الضعيفة، وتطبيق التحديثات، ومراجعة السجلات بحثاً عن علامات تصعيد الامتيازات أو نشاط غير عادي في النواة. يبرز هذا الاستغلال النشط الحاجة إلى إجراء سريع لمنع نشر الرنسوموير واستخراج البيانات.