A CISA confirmou, na quinta-feira, que uma falha grave de escalonamento de privilégios no kernel Linux está sendo explorada em ataques de ransomware.
Identificada como
CVE-2024-1086
, a vulnerabilidade foi divulgada em 31 de janeiro de 2024.
Trata-se de uma weakness do tipo use-after-free no componente netfilter: nf_tables do kernel, corrigida por meio de um patch aplicado naquele mesmo mês.
Curiosamente, a falha foi introduzida por um commit feito há quase uma década, em fevereiro de 2014.
Quando explorada com sucesso, ela permite que invasores com acesso local ao sistema elevem seus privilégios, podendo obter controle root dos dispositivos comprometidos.
Conforme explica a Immersive Labs, os impactos potenciais incluem o takeover completo do sistema ao conquistar acesso root — o que possibilita a desativação de proteções, modificação de arquivos e instalação de malware.
Além disso, a vulnerabilidade pode ser usada para movimentação lateral na rede e roubo de dados.
No final de março de 2024, um pesquisador de segurança conhecido como ‘Notselwyn’ publicou um relatório detalhado e código proof-of-concept (PoC) no GitHub.
O material demonstra como realizar a escalada de privilégios local em versões do kernel Linux que vão da 5.14 até a 6.6.
A falha afeta diversas distribuições populares, incluindo Debian, Ubuntu, Fedora e Red Hat, abrangendo versões do kernel entre 3.15 e 6.8-rc1.
Em uma atualização no seu catálogo de vulnerabilidades exploradas ativamente, a agência americana alertou que a falha já está sendo usada em campanhas de ransomware, embora não tenha fornecido detalhes sobre os ataques em andamento.
A CISA incluiu a vulnerabilidade na sua lista Known Exploited Vulnerabilities (KEV) em maio de 2024, exigindo que órgãos federais protejam seus sistemas até 20 de junho de 2024.
Para casos em que o patch não puder ser aplicado, os administradores de TI têm as seguintes recomendações de mitigação:
- Bloquear o módulo ‘nf_tables’, caso não seja necessário ou esteja inativo;
- Restringir o acesso a user namespaces para reduzir a superfície de ataque;
- Carregar o módulo Linux Kernel Runtime Guard (LKRG), embora isso possa causar instabilidade no sistema.
“Ao longo do tempo, vulnerabilidades desse tipo são vetores frequentes para agentes maliciosos e representam riscos significativos para o setor federal”, afirmou a CISA.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...