L'Agence de cybersécurité et de sécurité des infrastructures des États-Unis (CISA) a confirmé qu'une vulnérabilité d'escalade de privilèges de haute gravité dans le noyau Linux, connue sous le nom de CVE-2024-1086, est désormais exploitée par des gangs de rançongiciels. Cette faille, un problème d'utilisation après libération dans le composant netfilter: nf_tables, a été introduite en février 2014 et corrigée en janvier 2024. Elle affecte les principales distributions Linux, y compris Debian, Ubuntu, Fedora et Red Hat.
Le 31 octobre 2025, la CISA a mis à jour son catalogue des vulnérabilités exploitées connues (KEV) pour signaler CVE-2024-1086 comme activement utilisée dans des campagnes de rançongiciels, bien qu'elle n'ait fourni aucun détail spécifique sur les attaques ou les groupes responsables. La vulnérabilité permet aux attaquants locaux d'escalader les privilèges au niveau root, permettant potentiellement la prise de contrôle du système, la désactivation des défenses, les modifications de fichiers, l'installation de malwares, le déplacement latéral dans le réseau et le vol de données.
Divulguée le 31 janvier 2024, la faille a été corrigée par un commit du noyau ce mois-là, mais elle provenait d'un changement datant d'une décennie. Fin mars 2024, le chercheur en sécurité 'Notselwyn' a publié une analyse détaillée et un exploit de preuve de concept sur GitHub, démontrant l'escalade de privilèges sur les noyaux Linux des versions 5.14 à 6.6. Le problème affecte les noyaux de 3.15 à 6.8-rc1 dans diverses distributions.
La CISA a ajouté la vulnérabilité à son catalogue KEV en mai 2024 — bien qu'un rapport suggère mars 2024 — et a ordonné aux agences fédérales de corriger avant le 20 juin 2024. Pour les systèmes non corrigés, les mesures d'atténuation recommandées incluent la mise en liste noire du module 'nf_tables' s'il n'est pas utilisé, la restriction de l'accès aux espaces de noms utilisateur ou le chargement du module Linux Kernel Runtime Guard (LKRG), qui peut causer de l'instabilité.
"Ce type de vulnérabilités constitue des vecteurs d'attaque fréquents pour les acteurs cyber malveillants et représente des risques significatifs pour l'entreprise fédérale", a déclaré la CISA. "Appliquez les mesures d'atténuation selon les instructions du fournisseur ou cessez l'utilisation du produit si les mesures d'atténuation ne sont pas disponibles."
Notselwyn a noté des défis dans l'exploitation : "Lorsque vous essayez de reproduire le bug vous-même, le noyau peut paniquer, même lorsque toutes les mesures d'atténuation sont désactivées... J'ai trouvé un moyen de contourner tous les usages qui pourraient mener à une panique ou à des erreurs habituelles et d'obtenir un primitif de double libération hautement fiable."