La Agencia de Ciberseguridad e Infraestructura de EE.UU. ha emitido una advertencia urgente sobre CVE-2024-1086, una vulnerabilidad crítica en el kernel de Linux que está siendo explotada activamente por hackers para desplegar ransomware. Esta falla de uso después de liberar permite a los atacantes escalar privilegios al nivel root en sistemas afectados. Se insta a las organizaciones de todo el mundo a aplicar parches de inmediato para mitigar la amenaza.
La vulnerabilidad, rastreada como CVE-2024-1086, es un problema de uso después de liberar en el componente netfilter del kernel de Linux, específicamente en el subsistema nf_tables. Permite la escalada local de privilegios, lo que permite a los atacantes con acceso inicial obtener privilegios root y control total de las máquinas comprometidas. Clasificada bajo CWE-416, la falla proviene de un manejo inadecuado de la memoria en funciones como nft_verdict_init() y nf_hook_slow(), lo que lleva a corrupción de memoria y ejecución de código arbitrario en el espacio del kernel.
Introducida originalmente en el kernel de Linux en 2014, CVE-2024-1086 afecta versiones desde 3.15 hasta 6.8 rc1, impactando distribuciones principales como Debian, Ubuntu, Fedora y Red Hat. Se lanzó un parche en enero de 2024, y el problema se añadió al catálogo de Vulnerabilidades Explotadas Conocidas de CISA en mayo de 2024. La firma de seguridad CrowdStrike detectó por primera vez intentos de explotación en abril de 2024, calificando posteriormente el riesgo como crítico después de que surgiera código de explotación público en línea.
Los operadores de ransomware han integrado esta falla en sus cadenas de ataque para desactivar protecciones de endpoints, cifrar archivos, eliminar copias de seguridad y moverse lateralmente a través de redes. La presencia de la vulnerabilidad en sistemas Linux ampliamente utilizados aumenta los riesgos para entornos empresariales, infraestructura en la nube y centros de datos. CISA ha ordenado que las agencias federales civiles del poder ejecutivo apliquen parches o discontinúen el uso de sistemas afectados, mientras recomienda que todas las organizaciones prioricen la gestión de vulnerabilidades basada en el catálogo KEV.
Los defensores de redes deben inventariar sistemas Linux, identificar kernels vulnerables, aplicar actualizaciones y revisar registros en busca de signos de escalada de privilegios o actividad inusual en el kernel. Esta explotación activa subraya la necesidad de una acción rápida para prevenir el despliegue de ransomware y la exfiltración de datos.