Badan Keamanan Siber dan Keamanan Infrastruktur AS (CISA) telah mengonfirmasi bahwa kerentanan eskalasi hak istimewa tingkat tinggi di kernel Linux, yang dikenal sebagai CVE-2024-1086, kini dieksploitasi oleh geng ransomware. Celah tersebut, masalah use-after-free di komponen netfilter: nf_tables, diperkenalkan pada Februari 2014 dan ditambal pada Januari 2024. Celah ini memengaruhi distribusi Linux utama termasuk Debian, Ubuntu, Fedora, dan Red Hat.
Pada 31 Oktober 2025, CISA memperbarui katalog Kerentanan Terekspoitasi Terketahui (KEV) untuk menandai CVE-2024-1086 sebagai yang digunakan secara aktif dalam kampanye ransomware, meskipun tidak memberikan detail spesifik tentang serangan atau kelompok yang bertanggung jawab. Kerentanan ini memungkinkan penyerang lokal untuk meningkatkan hak istimewa ke tingkat root, yang berpotensi memungkinkan pengambilalihan sistem, menonaktifkan pertahanan, modifikasi file, instalasi malware, pergerakan lateral jaringan, dan pencurian data.
Diumumkan pada 31 Januari 2024, celah tersebut diperbaiki melalui komit kernel pada bulan itu tetapi berasal dari perubahan satu dekade sebelumnya. Pada akhir Maret 2024, peneliti keamanan 'Notselwyn' merilis analisis mendetail dan bukti konsep eksploitasi di GitHub, yang menunjukkan eskalasi hak istimewa pada kernel Linux dari versi 5.14 hingga 6.6. Masalah ini memengaruhi kernel dari 3.15 hingga 6.8-rc1 di berbagai distribusi.
CISA menambahkan kerentanan tersebut ke katalog KEV pada Mei 2024—meskipun satu laporan menunjukkan Maret 2024—dan mewajibkan lembaga federal untuk menambal sebelum 20 Juni 2024. Untuk sistem yang belum ditambal, mitigasi yang direkomendasikan termasuk memasukkan modul 'nf_tables' ke daftar hitam jika tidak digunakan, membatasi akses ruang nama pengguna, atau memuat modul Linux Kernel Runtime Guard (LKRG), yang mungkin menyebabkan ketidakstabilan.
"Jenis kerentanan ini adalah vektor serangan yang sering digunakan oleh pelaku siber jahat dan menimbulkan risiko signifikan bagi perusahaan federal," kata CISA. "Terapkan mitigasi sesuai instruksi vendor atau hentikan penggunaan produk jika mitigasi tidak tersedia."
Notselwyn mencatat tantangan dalam eksploitasi: "Ketika Anda mencoba mereproduksi bug tersebut sendiri, kernel mungkin panik, bahkan ketika semua mitigasi dinonaktifkan... Saya menemukan cara untuk melewati semua penggunaan yang dapat menyebabkan panik atau kesalahan biasa dan mendapatkan primitif double-free yang sangat andal."