La Agencia de Ciberseguridad e Infraestructura de EE.UU. (CISA) ha emitido una advertencia sobre ataques de ransomware en curso que apuntan a una vulnerabilidad conocida en el kernel de Linux. Las agencias federales deben actualizar los sistemas afectados antes del 20 de noviembre o discontinuar su uso. La alerta destaca que Linux no es inmune a tales amenazas, desmintiendo mitos sobre la disminución del ransomware y Windows como el único objetivo.
La vulnerabilidad en cuestión es CVE-2024-1086, un fallo de uso después de liberar en el kernel de Linux descubierto hace casi dos años y parcheado en enero de 2024. Según Immersive Security, permite que 'un usuario normal se convierta en administrador (root), lo que les permite cambiar archivos, desactivar la seguridad o instalar malware'. El fallo ocurre cuando el sistema maneja mal la memoria, permitiendo a los atacantes obtener control completo.
La directiva vinculante de CISA, emitida recientemente, confirma que los actores de amenazas de ransomware están explotando activamente esta vulnerabilidad en ciertas versiones antiguas del sistema operativo Linux. Las agencias federales tienen hasta el 20 de noviembre para aplicar el parche o dejar de usar los productos afectados. Aunque dirigida a entidades gubernamentales, la advertencia se aplica ampliamente a las empresas, ya que el código de prueba de concepto está fácilmente disponible en la dark web y mercados criminales.
Los atacantes a menudo combinan CVE-2024-1086 con técnicas estándar de phishing para infiltrarse en los sistemas. El Instituto Nacional de Estándares y Tecnología del Departamento de Comercio de EE.UU. ha publicado una lista de versiones de Linux afectadas. CISA enfatiza que el ransomware sigue siendo una amenaza significativa, contrarrestando percepciones de su disminución y la idea de que solo los sistemas Windows están en riesgo.
Este recordatorio subraya la importancia de las actualizaciones oportunas en todos los sistemas operativos para mitigar daños reales de estos exploits.