La Agencia de Ciberseguridad e Infraestructura de EE.UU. ha emitido una alerta urgente sobre una vulnerabilidad crítica en el kernel de Linux, CVE-2024-1086, que ahora está siendo utilizada por operadores de ransomware. Esta falla permite la escalada de privilegios local y fue parcheada en enero de 2024. La advertencia resalta los riesgos continuos para sistemas empresariales a pesar de las correcciones disponibles.
La vulnerabilidad, rastreada como CVE-2024-1086, proviene de un error de uso después de liberar en el componente netfilter: nf_tables del kernel de Linux. Introducida desde 2014, permite a los atacantes obtener acceso elevado en sistemas afectados, escalando privilegios desde una cuenta de usuario de bajo nivel a root. Divulgada por primera vez a principios de este año, el error fue parcheado en enero de 2024, pero muchas organizaciones no han aplicado la actualización, dejando servidores y dispositivos expuestos.
CISA confirmó el jueves que bandas de ransomware están aprovechando esta debilidad para desplegar cargas maliciosas, a menudo después de obtener acceso inicial por otros medios. La falla afecta versiones del kernel de Linux desde 3.15 hasta 6.7 y tiene una puntuación de severidad alta de 7.8 en la escala CVSS. Su explotación subraya el cambio hacia el objetivo de plataformas no Windows, que dominan los servidores web e infraestructura crítica.
Al agregar CVE-2024-1086 a su catálogo de Vulnerabilidades Explotadas Conocidas, CISA obliga a las agencias federales a remediar en semanas. Las empresas privadas enfrentan riesgos similares, particularmente en sectores como finanzas y salud, donde sistemas sin parches podrían llevar a la encriptación de datos y extorsión. Grupos de ransomware están combinando esta explotación con tácticas como compromisos de herramientas de gestión remota, amplificando amenazas en entornos en la nube.
Expertos enfatizan la necesidad de escanear y parchear inmediatamente los kernels vulnerables. Herramientas como el parcheo en vivo del kernel pueden ayudar a minimizar interrupciones, junto con la implementación de acceso de privilegios mínimos y monitoreo de anomalías. Este incidente resalta los desafíos en la seguridad de código abierto, donde las actualizaciones oportunas son cruciales ante amenazas cibernéticas en evolución.