A Agência de Cibersegurança e Segurança de Infraestruturas dos EUA (CISA) confirmou que uma vulnerabilidade de escalada de privilégios de alta gravidade no kernel Linux, conhecida como CVE-2024-1086, está sendo explorada por gangues de ransomware. A falha, um problema de uso após liberação no componente netfilter: nf_tables, foi introduzida em fevereiro de 2014 e corrigida em janeiro de 2024. Ela afeta distribuições principais do Linux, incluindo Debian, Ubuntu, Fedora e Red Hat.
Em 31 de outubro de 2025, a CISA atualizou seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) para sinalizar a CVE-2024-1086 como ativamente usada em campanhas de ransomware, embora não tenha fornecido detalhes específicos sobre os ataques ou grupos responsáveis. A vulnerabilidade permite que atacantes locais escalem privilégios para o nível root, potencialmente permitindo a tomada de controle do sistema, desativação de defesas, modificações de arquivos, instalação de malware, movimento lateral na rede e roubo de dados.
Divulgada em 31 de janeiro de 2024, a falha foi corrigida por meio de um commit do kernel naquele mês, mas originou-se de uma mudança de uma década antes. No final de março de 2024, o pesquisador de segurança 'Notselwyn' lançou uma análise detalhada e um exploit de prova de conceito no GitHub, demonstrando escalada de privilégios em kernels Linux das versões 5.14 a 6.6. O problema afeta kernels de 3.15 a 6.8-rc1 em várias distribuições.
A CISA adicionou a vulnerabilidade ao seu catálogo KEV em maio de 2024 — embora um relatório sugira março de 2024 — e determinou que agências federais aplicassem patches até 20 de junho de 2024. Para sistemas sem patches, as mitigação recomendadas incluem bloquear o módulo 'nf_tables' se não utilizado, restringir o acesso a namespaces de usuário ou carregar o módulo Linux Kernel Runtime Guard (LKRG), que pode causar instabilidade.
"Esses tipos de vulnerabilidades são vetores de ataque frequentes para atores cibernéticos maliciosos e representam riscos significativos para a empresa federal", afirmou a CISA. "Aplique mitigação conforme as instruções do fornecedor ou descontinue o uso do produto se as mitigação não estiverem disponíveis."
Notselwyn observou desafios na exploração: "Quando você tenta reproduzir o bug por conta própria, o kernel pode entrar em pânico, mesmo quando todas as mitigação estão desativadas... Encontrei uma maneira de contornar todos os usos que poderiam levar a um pânico ou erros habituais e obter um primitivo de dupla liberação altamente confiável."