Den amerikanska Cybersecurity and Infrastructure Security Agency har utfärdat en brådskande varning om CVE-2024-1086, en kritisk sårbarhet i Linux-kärnan som aktivt utnyttjas av hackare för att distribuera ransomware. Denna use-after-free-fel tillåter angripare att eskalera privilegier till root-nivå på drabbade system. Organisationer världen över uppmanas att omedelbart applicera patchar för att mildra hotet.
Sårbarheten, spårad som CVE-2024-1086, är ett use-after-free-problem i netfilter-komponenten i Linux-kärnan, specifikt i nf_tables-delsystemet. Den möjliggör lokal privilegieskalerad, vilket tillåter angripare med initial åtkomst att få root-privilegier och full kontroll över komprometterade maskiner. Klassificerad under CWE-416, uppstår felet från otillbörlig hantering av minne i funktioner som nft_verdict_init() och nf_hook_slow(), vilket leder till minneskorruption och godtycklig kodexekvering i kärnutrymmet.
Introducerad ursprungligen i Linux-kärnan 2014, påverkar CVE-2024-1086 versioner från 3.15 till 6.8 rc1, och drabbar stora distributioner som Debian, Ubuntu, Fedora och Red Hat. En patch släpptes i januari 2024, och problemet lades till i CISA:s Known Exploited Vulnerabilities-katalog i maj 2024. Säkerhetsföretaget CrowdStrike upptäckte första utnyttjningsförsöken i april 2024, och bedömde senare risken som kritisk efter att offentlig exploit-kod dök upp online.
Ransomware-operatörer har integrerat denna sårbarhet i sina attackkedjor för att inaktivera endpoint-skydd, kryptera filer, radera säkerhetskopior och röra sig lateralt över nätverk. Sårbarhetens närvaro i allmänt använda Linux-system ökar riskerna för företagsmiljöer, molninfrastruktur och datacenter. CISA har mandat att federala civila verkställande myndigheter ska applicera patchar eller avbryta användning av drabbade system, samtidigt som de rekommenderar att alla organisationer prioriterar sårbarhetshantering baserat på KEV-katalogen.
Nätverksförsvarare bör inventera Linux-system, identifiera sårbara kärnor, applicera uppdateringar och granska loggar för tecken på privilegieskalerad eller ovanlig kärnaktivitet. Denna aktiva utnyttjande understryker behovet av snabba åtgärder för att förhindra ransomware-distribution och dataläckage.