La Agencia de Ciberseguridad e Infraestructura de EE.UU. (CISA) ha confirmado que una vulnerabilidad de escalada de privilegios de alta severidad en el kernel de Linux, conocida como CVE-2024-1086, está siendo explotada por bandas de ransomware. La falla, un problema de uso después de liberar en el componente netfilter: nf_tables, fue introducida en febrero de 2014 y parcheada en enero de 2024. Afecta a distribuciones principales de Linux, incluyendo Debian, Ubuntu, Fedora y Red Hat.
El 31 de octubre de 2025, CISA actualizó su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) para marcar CVE-2024-1086 como activamente utilizada en campañas de ransomware, aunque no proporcionó detalles específicos sobre los ataques o los grupos responsables. La vulnerabilidad permite a atacantes locales escalar privilegios al nivel de root, lo que potencialmente permite la toma de control del sistema, la desactivación de defensas, modificaciones de archivos, instalación de malware, movimiento lateral en la red y robo de datos.
Divulgada el 31 de enero de 2024, la falla fue corregida mediante un commit del kernel ese mes, pero se originó en un cambio de una década antes. A finales de marzo de 2024, el investigador de seguridad 'Notselwyn' publicó un análisis detallado y un exploit de prueba de concepto en GitHub, demostrando la escalada de privilegios en kernels de Linux desde las versiones 5.14 hasta 6.6. El problema afecta a kernels desde 3.15 hasta 6.8-rc1 en diversas distribuciones.
CISA agregó la vulnerabilidad a su catálogo KEV en mayo de 2024 —aunque un informe sugiere marzo de 2024— y ordenó a las agencias federales que aplicaran parches antes del 20 de junio de 2024. Para sistemas sin parches, las mitigaciones recomendadas incluyen la inclusión en lista negra del módulo 'nf_tables' si no se usa, la restricción del acceso a espacios de nombres de usuario o la carga del módulo Linux Kernel Runtime Guard (LKRG), que puede causar inestabilidad.
"Estos tipos de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y representan riesgos significativos para la empresa federal", declaró CISA. "Aplique mitigaciones según las instrucciones del proveedor o descontinúe el uso del producto si no hay mitigaciones disponibles."
Notselwyn señaló desafíos en la explotación: "Cuando intentas reproducir el error tú mismo, el kernel puede entrar en pánico, incluso cuando todas las mitigaciones están desactivadas... Encontré una manera de eludir todos los usos que podrían llevar a un pánico o errores habituales y obtener un primitivo de doble liberación altamente confiable."