米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Linuxカーネルの高深刻度の特権昇格脆弱性であるCVE-2024-1086が、ランサムウェア集団によって悪用されていることを確認した。この欠陥は、netfilter: nf_tablesコンポーネントのuse-after-freeの問題で、2014年2月に導入され、2024年1月にパッチが適用された。主要なLinuxディストリビューションであるDebian、Ubuntu、Fedora、Red Hatに影響する。
2025年10月31日、CISAはKnown Exploited Vulnerabilities(KEV)カタログを更新し、CVE-2024-1086をランサムウェアキャンペーンで積極的に使用されているものとしてフラグを立てたが、攻撃や責任グループに関する具体的な詳細は提供しなかった。この脆弱性は、ローカル攻撃者が特権をrootレベルまで昇格させることを可能にし、システムの乗っ取り、防衛の無効化、ファイルの変更、マルウェアのインストール、ネットワーク内での横移動、データ盗難を潜在的に許可する。
2024年1月31日に公開されたこの欠陥は、その月にカーネルコミットによって修正されたが、10年前の変更に起因する。2024年3月下旬、セキュリティ研究者の「Notselwyn」がGitHubで詳細な分析と概念実証エクスプロイトを公開し、Linuxカーネルバージョン5.14から6.6での特権昇格を実証した。この問題は、さまざまなディストリビューションの3.15から6.8-rc1までのカーネルに影響する。
CISAは2024年5月にこの脆弱性をKEVカタログに追加した—ただし、ある報告では2024年3月とされる—連邦機関に対し2024年6月20日までにパッチ適用を義務付けた。未パッチのシステムに対しては、使用されていない場合に「nf_tables」モジュールをブラックリストに追加、ユーザーネームスペースへのアクセスを制限、またはLinux Kernel Runtime Guard(LKRG)モジュールをロードすることを推奨するが、後者は不安定を引き起こす可能性がある。
「このような脆弱性は、悪意あるサイバーアクターの頻繁な攻撃ベクターであり、連邦企業に重大なリスクをもたらす」とCISAは述べた。「ベンダーの指示に従って緩和策を適用するか、緩和策が利用できない場合は製品の使用を中止してください。」
Notselwynはエクスプロイトの課題を指摘した:「バグを自分で再現しようとすると、カーネルがパニックを起こす可能性があり、全ての緩和策を無効にしても同様です... パニックや通常のエラーを引き起こす可能性のあるすべての使用を回避する方法を見つけ、高度に信頼性の高いdouble-freeプリミティブを取得しました。」