Η CISA επιβεβαίωσε την Πέμπτη ότι ένα υψηλής σοβαρότητας ελάττωμα κλιμάκωσης προνομίων στον πυρήνα του Linux χρησιμοποιείται τώρα για επιθέσεις ransomware.
Ενώ η ευπάθεια (παρακολουθείται ως CVE-2024-1086) αποκαλύφθηκε στις 31 Ιανουαρίου 2024, ως αδυναμία χρήσης μετά την ελεύθερη χρήση του στοιχείου πυρήνα netfilter: nf_tables και διορθώθηκε μέσω δέσμευσης υποβλήθηκε τον Ιανουάριο του 2024εισήχθη για πρώτη φορά από μια δεκαετία commit in Φεβρουάριος 2014.
Η επιτυχής εκμετάλλευση επιτρέπει στους εισβολείς με τοπική πρόσβαση να κλιμακώνουν τα προνόμια στο σύστημα προορισμού, με αποτέλεσμα την πρόσβαση σε επίπεδο ρίζας σε παραβιασμένες συσκευές.
Ως Immersive Labs εξηγείο πιθανός αντίκτυπος περιλαμβάνει την κατάληψη συστήματος μόλις αποκτηθεί πρόσβαση root (επιτρέποντας στους εισβολείς να απενεργοποιήσουν τις άμυνες, να τροποποιήσουν αρχεία ή να εγκαταστήσουν κακόβουλο λογισμικό), πλευρική μετακίνηση μέσω του δικτύου και κλοπή δεδομένων.
Στα τέλη Μαρτίου 2024, ένας ερευνητής ασφάλειας που χρησιμοποιεί το ψευδώνυμο «Notselwyn» δημοσίευσε ένα αναλυτική καταγραφή και κώδικας εκμετάλλευσης proof-of-concept (PoC). στοχεύοντας το CVE-2024-1086 στο GitHub, παρουσιάζοντας τον τρόπο επίτευξης τοπικής κλιμάκωσης προνομίων σε εκδόσεις πυρήνα Linux μεταξύ 5.14 και 6.6.
Το ελάττωμα επηρεάζει πολλές μεγάλες διανομές Linux, συμπεριλαμβανομένων, ενδεικτικά, των Debian, Ubuntu, Fedora και Red Hat, που χρησιμοποιούν εκδόσεις πυρήνα από 3.15 έως 6.8-rc1
Επισημάνθηκε ως εκμετάλλευση σε επιθέσεις ransomware
Σε ένα Ενημέρωση Πέμπτης στον κατάλογό της με τρωτά σημεία που εκμεταλλεύονται στην άγρια φύση, η αμερικανική υπηρεσία κυβερνοασφάλειας είπε ότι το ελάττωμα είναι πλέον γνωστό ότι χρησιμοποιείται σε εκστρατείες ransomware, αλλά δεν παρείχε περισσότερες πληροφορίες σχετικά με τις συνεχείς προσπάθειες εκμετάλλευσης.
Η CISA πρόσθεσε αυτό το ελάττωμα ασφαλείας στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών (KEV) τον Μάιο του 2024 και διέταξε τις ομοσπονδιακές υπηρεσίες να ασφαλίσουν τα συστήματά τους έως τις 20 Ιουνίου 2024.
Εάν η ενημέρωση κώδικα δεν είναι δυνατή, συνιστάται στους διαχειριστές IT να εφαρμόσουν έναν από τους ακόλουθους μετριασμούς:
- Λίστα αποκλεισμού ‘nf_tables’ εάν δεν χρειάζεται/χρησιμοποιείται ενεργά,
- Περιορίστε την πρόσβαση στους χώρους ονομάτων χρήστη για να περιορίσετε την επιφάνεια επίθεσης,
- Φόρτωση του Linux Kernel Runtime Guard (LKRG) μονάδα (ωστόσο, αυτό μπορεί να προκαλέσει αστάθεια του συστήματος).
“Αυτοί οι τύποι τρωτών σημείων είναι συχνοί φορείς επιθέσεων για κακόβουλους κυβερνοχώρους και θέτουν σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση.” είπε η CISA. “Εφαρμόστε μέτρα μετριασμού ανά οδηγίες πωλητή ή διακόψτε τη χρήση του προϊόντος εάν δεν υπάρχουν διαθέσιμα μέτρα αντιμετώπισης.”
Το 46% των περιβαλλόντων είχαν σπάσει κωδικούς πρόσβασης, σχεδόν διπλασιασμένος από 25% πέρυσι.
Λάβετε τώρα την Έκθεση Picus Blue 2025 για μια ολοκληρωμένη ματιά σε περισσότερα ευρήματα σχετικά με τις τάσεις πρόληψης, ανίχνευσης και διείσδυσης δεδομένων.
VIA: bleepingcomputer.com
