A agência de segurança cibernética dos EUA, CISA, alertou na quinta-feira (30/05) às organizações que agentes de ameaças estão explorando ativamente uma vulnerabilidade recente no kernel do Linux.
Rastreado como CVE-2024-1086, o bug é descrito como um problema de uso após liberação no componente ‘netfilter: nf_tables’. Sua exploração permite que um invasor local eleve seus privilégios.
As versões do kernel Linux entre 5.14 e 6.6 são afetadas pela falha, com o problema subjacente afetando potencialmente todas as iterações do kernel a partir da versão 3.15.
Os patches foram lançados em fevereiro de 2024, com AlmaLinux, Debian, Gentoo, Red Hat, SUSE e Ubuntu confirmados como afetados. Outras distribuições Linux também podem ser vulneráveis.
No final de março, Notselwyn, o caçador de bugs que descobriu o CVE-2024-1086, publicou um código de prova de conceito (PoC), alegando uma taxa de sucesso de 99,4% e alertando que a vulnerabilidade é fácil de explorar.
A vulnerabilidade, como explica o pesquisador em um artigo técnico, é um bug de liberação dupla enraizado na limpeza insuficiente de entrada no netfilter quando nf_tables e namespaces de usuários sem privilégios estão habilitados.
“A exploração é apenas de dados e executa um ataque de espelhamento de espaço de kernel (KSMA) da terra do usuário com a nova técnica Dirty Pagedirectory (confusão de pagetable), a qual permite vincular qualquer endereço físico (e suas permissões) a endereços de memória virtual realizando apenas leitura/gravação em endereços de usuários”, observa Notselwyn. Dirty Pagedirectory é uma variação do Dirty Pagetable.
A exploração bem-sucedida da vulnerabilidade leva a uma falha ou à execução arbitrária de código no kernel, e o pesquisador explica como o bug pode ser direcionado para eliminar um shell raiz universal.
Na quinta-feira (30/05), dois meses após a exploração ter sido tornada pública, a CISA adicionou o CVE-2024-1086 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), alertando que os agentes da ameaça estão o atacando “in the wild“.
A agência não fez menção à falha explorada em ataques de ransomware. Nenhuma informação parece estar disponível sobre os ataques envolvendo CVE-2024-1086.
De acordo com a Diretiva Operacional Vinculante (BOD) 22-01, as agências federais têm até 20 de junho para aplicar os patches ou mitigações disponíveis.
“Embora o BOD 22-01 se aplique apenas às agências FCEB, a CISA insta veementemente todas as organizações a reduzirem a sua exposição a ataques cibernéticos, dando prioridade à remediação atempada”, observou a agência de segurança cibernética.
Para saber mais, clique aqui.