Den amerikanska myndigheten för cybersäkerhet och infrastrukturssäkerhet (CISA) har bekräftat att en högprioriterad sårbarhet för privilege-eskalering i Linux-kärnan, känd som CVE-2024-1086, nu utnyttjas av ransomwaregrupper. Felet, ett use-after-free-problem i komponenten netfilter: nf_tables, introducerades i februari 2014 och patchades i januari 2024. Det påverkar stora Linux-distributioner inklusive Debian, Ubuntu, Fedora och Red Hat.
Den 31 oktober 2025 uppdaterade CISA sin katalog för kända utnyttjade sårbarheter (KEV) för att markera CVE-2024-1086 som aktivt använd i ransomwarekampanjer, även om inga specifika detaljer om attackerna eller ansvariga grupper angavs. Sårbarheten gör det möjligt för lokala angripare att eskalera privilegier till root-nivå, vilket potentiellt tillåter systemövertagande, inaktivering av försvar, filändringar, installation av skadlig kod, lateralt nätverksrörelse och datastöld.
Sårbarheten offentliggjordes den 31 januari 2024 och åtgärdades genom en kärnkommit den månaden, men härstammade från en ändring ett decennium tidigare. I slutet av mars 2024 publicerade säkerhetsforskaren 'Notselwyn' en detaljerad analys och ett proof-of-concept-exploit på GitHub, som demonstrerade privilege-eskalering i Linux-kärnor från version 5.14 till 6.6. Problemet påverkar kärnor från 3.15 till 6.8-rc1 i olika distributioner.
CISA lade till sårbarheten i sin KEV-katalog i maj 2024 — även om en rapport tyder på mars 2024 — och krävde att federala myndigheter skulle patcha senast den 20 juni 2024. För opatchade system rekommenderas åtgärder som att blocklista modulen 'nf_tables' om den inte används, begränsa åtkomst till användarname spaces eller ladda modulen Linux Kernel Runtime Guard (LKRG), som kan orsaka instabilitet.
"Dessa typer av sårbarheter är vanliga attackvektorer för skadliga cyberaktörer och utgör betydande risker för den federala verksamheten," uppgav CISA. "Tillämpa åtgärder enligt leverantörens instruktioner eller avsluta användningen av produkten om åtgärder inte är tillgängliga."
Notselwyn noterade utmaningar i utnyttjandet: "När du försöker reproducera felet själv kan kärnan panika, även när alla åtgärder är inaktiverade... Jag hittade ett sätt att kringgå all användning som kunde leda till panik eller vanliga fel och få en mycket pålitlig double-free-primitive."