A Agência de Cibersegurança e Segurança de Infraestruturas dos EUA emitiu um alerta urgente sobre CVE-2024-1086, uma vulnerabilidade crítica no kernel Linux ativamente explorada por hackers para implantar ransomware. Essa falha de uso após liberação permite que atacantes escalem privilégios para o nível root em sistemas afetados. Organizações em todo o mundo são instadas a aplicar patches imediatamente para mitigar a ameaça.
A vulnerabilidade, rastreada como CVE-2024-1086, é um problema de uso após liberação no componente netfilter do kernel Linux, especificamente no subsistema nf_tables. Ela permite escalada local de privilégios, permitindo que atacantes com acesso inicial obtenham privilégios root e controle total de máquinas comprometidas. Classificada sob CWE-416, a falha decorre de manuseio inadequado de memória em funções como nft_verdict_init() e nf_hook_slow(), levando à corrupção de memória e execução de código arbitrário no espaço do kernel.
Originalmente introduzida no kernel Linux em 2014, a CVE-2024-1086 afeta versões de 3.15 a 6.8 rc1, impactando distribuições principais como Debian, Ubuntu, Fedora e Red Hat. Um patch foi lançado em janeiro de 2024, e o problema foi adicionado ao catálogo de Vulnerabilidades Exploradas Conhecidas da CISA em maio de 2024. A empresa de segurança CrowdStrike detectou pela primeira vez tentativas de exploração em abril de 2024, classificando posteriormente o risco como crítico após o surgimento de código de exploração público online.
Operadores de ransomware integraram essa falha em suas cadeias de ataque para desativar proteções de endpoint, criptografar arquivos, excluir backups e se mover lateralmente pelas redes. A presença da vulnerabilidade em sistemas Linux amplamente utilizados aumenta os riscos para ambientes empresariais, infraestrutura de nuvem e centros de dados. A CISA determinou que agências executivas civis federais apliquem patches ou descontinuem o uso de sistemas afetados, enquanto recomenda que todas as organizações priorizem a gestão de vulnerabilidades com base no catálogo KEV.
Defensores de rede devem inventariar sistemas Linux, identificar kernels vulneráveis, aplicar atualizações e revisar logs em busca de sinais de escalada de privilégios ou atividade incomum no kernel. Essa exploração ativa ressalta a necessidade de ação rápida para prevenir a implantação de ransomware e a exfiltração de dados.