Badan Keamanan Siber dan Infrastruktur AS telah mengeluarkan peringatan mendesak tentang CVE-2024-1086, sebuah kerentanan kritis kernel Linux yang sedang dieksploitasi secara aktif oleh peretas untuk menyebarkan ransomware. Kerentanan use-after-free ini memungkinkan penyerang untuk meningkatkan hak istimewa ke tingkat root pada sistem yang terpengaruh. Organisasi di seluruh dunia didesak untuk segera menerapkan patch guna mengurangi ancaman.
Kerentanan tersebut, yang dilacak sebagai CVE-2024-1086, adalah masalah use-after-free di komponen netfilter kernel Linux, khususnya subsistem nf_tables. Ini memungkinkan eskalasi hak istimewa lokal, memungkinkan penyerang dengan akses awal untuk memperoleh hak istimewa root dan kendali penuh atas mesin yang dikompromikan. Diklasifikasikan di bawah CWE-416, kerentanan ini berasal dari penanganan memori yang tidak tepat di fungsi seperti nft_verdict_init() dan nf_hook_slow(), yang menyebabkan korupsi memori dan eksekusi kode sewenang-wenang di ruang kernel.
Awalnya diperkenalkan di kernel Linux pada tahun 2014, CVE-2024-1086 memengaruhi versi dari 3.15 hingga 6.8 rc1, yang berdampak pada distribusi utama seperti Debian, Ubuntu, Fedora, dan Red Hat. Patch dirilis pada Januari 2024, dan isu ini ditambahkan ke katalog Known Exploited Vulnerabilities CISA pada Mei 2024. Firma keamanan CrowdStrike pertama kali mendeteksi upaya eksploitasi pada April 2024, kemudian menilai risikonya sebagai kritis setelah kode eksploitasi publik muncul secara online.
Operator ransomware telah mengintegrasikan kerentanan ini ke dalam rantai serangan mereka untuk menonaktifkan perlindungan endpoint, mengenkripsi file, menghapus cadangan, dan bergerak secara lateral di seluruh jaringan. Keberadaan kerentanan di sistem Linux yang digunakan secara luas meningkatkan risiko bagi lingkungan perusahaan, infrastruktur cloud, dan pusat data. CISA telah mewajibkan bahwa badan eksekutif sipil federal menerapkan patch atau menghentikan penggunaan sistem yang terpengaruh, sambil merekomendasikan agar semua organisasi memprioritaskan manajemen kerentanan berdasarkan katalog KEV.
Pembela jaringan harus menginventarisasi sistem Linux, mengidentifikasi kernel yang rentan, menerapkan pembaruan, dan meninjau log untuk tanda-tanda eskalasi hak istimewa atau aktivitas kernel yang tidak biasa. Eksploitasi aktif ini menekankan perlunya tindakan cepat untuk mencegah penyebaran ransomware dan ekstraksi data.