L'Agence américaine de cybersécurité et de sécurité des infrastructures a émis une alerte urgente concernant une vulnérabilité critique du noyau Linux, CVE-2024-1086, désormais utilisée par des opérateurs de ransomwares. Cette faille permet une escalade de privilèges locale et a été corrigée en janvier 2024. L'avertissement met en lumière les risques persistants pour les systèmes d'entreprise malgré les correctifs disponibles.
La vulnérabilité, suivie sous le nom CVE-2024-1086, provient d'une erreur d'utilisation après libération dans le composant netfilter: nf_tables du noyau Linux. Introduite dès 2014, elle permet aux attaquants d'obtenir un accès élevé sur les systèmes affectés, en escaladant les privilèges d'un compte utilisateur de bas niveau à root. Divulguée pour la première fois plus tôt cette année, le bug a été corrigé en janvier 2024, mais de nombreuses organisations n'ont pas appliqué la mise à jour, laissant les serveurs et appareils exposés.
La CISA a confirmé jeudi que des gangs de ransomwares exploitent cette faiblesse pour déployer des charges malveillantes, souvent après avoir obtenu un accès initial par d'autres moyens. La faille affecte les versions du noyau Linux de 3.15 à 6.7 et a un score de gravité élevé de 7.8 sur l'échelle CVSS. Son exploitation souligne le virage vers la cible de plateformes non Windows, qui dominent les serveurs web et les infrastructures critiques.
En ajoutant CVE-2024-1086 à son catalogue de vulnérabilités exploitées connues, la CISA oblige les agences fédérales à remédier en quelques semaines. Les entreprises privées font face à des risques similaires, particulièrement dans des secteurs comme la finance et la santé, où des systèmes non corrigés pourraient mener au chiffrement de données et à l'extorsion. Les groupes de ransomwares combinent cette exploitation avec des tactiques telles que les compromissions d'outils de gestion à distance, amplifiant les menaces dans les environnements cloud.
Les experts soulignent la nécessité d'un balayage et d'une correction immédiats des noyaux vulnérables. Des outils comme le correctif en direct du noyau peuvent aider à minimiser les perturbations, en complément de la mise en œuvre d'un accès aux privilèges minimaux et de la surveillance des anomalies. Cet incident met en évidence les défis de la sécurité open source, où les mises à jour opportunes sont cruciales face aux menaces cybernétiques en évolution.