L'Agence de cybersécurité et de sécurité des infrastructures des États-Unis a émis un avertissement urgent concernant CVE-2024-1086, une vulnérabilité critique du noyau Linux activement exploitée par des hackers pour déployer des ransomwares. Cette faille de type use-after-free permet aux attaquants d'escalader les privilèges au niveau root sur les systèmes affectés. Les organisations du monde entier sont invitées à appliquer des correctifs immédiatement pour atténuer la menace.
La vulnérabilité, suivie sous le nom CVE-2024-1086, est un problème de type use-after-free dans le composant netfilter du noyau Linux, plus précisément dans le sous-système nf_tables. Elle permet une escalade locale de privilèges, autorisant les attaquants disposant d'un accès initial à obtenir des privilèges root et un contrôle total des machines compromises. Classée sous CWE-416, cette faille provient d'une gestion incorrecte de la mémoire dans des fonctions comme nft_verdict_init() et nf_hook_slow(), entraînant une corruption de mémoire et une exécution de code arbitraire dans l'espace noyau.
Introduite initialement dans le noyau Linux en 2014, CVE-2024-1086 affecte les versions de 3.15 à 6.8 rc1, impactant les principales distributions telles que Debian, Ubuntu, Fedora et Red Hat. Un correctif a été publié en janvier 2024, et le problème a été ajouté au catalogue des vulnérabilités exploitées connues de la CISA en mai 2024. La société de sécurité CrowdStrike a détecté pour la première fois des tentatives d'exploitation en avril 2024, qualifiant ensuite le risque de critique après l'apparition de code d'exploitation public en ligne.
Les opérateurs de ransomwares ont intégré cette faille dans leurs chaînes d'attaque pour désactiver les protections des points d'extrémité, chiffrer des fichiers, supprimer des sauvegardes et se déplacer latéralement à travers les réseaux. La présence de cette vulnérabilité dans les systèmes Linux largement utilisés accroît les risques pour les environnements d'entreprise, l'infrastructure cloud et les centres de données. La CISA a ordonné aux agences exécutives civiles fédérales d'appliquer des correctifs ou de cesser l'utilisation des systèmes affectés, tout en recommandant à toutes les organisations de prioriser la gestion des vulnérabilités sur la base du catalogue KEV.
Les défenseurs de réseau doivent inventorier les systèmes Linux, identifier les noyaux vulnérables, appliquer les mises à jour et examiner les journaux pour détecter des signes d'escalade de privilèges ou d'activité inhabituelle du noyau. Cette exploitation active souligne la nécessité d'une action rapide pour prévenir le déploiement de ransomwares et l'exfiltration de données.