CISA confirmó el jueves que una falla de escalada de privilegios de alta gravedad en el kernel de Linux está siendo explotada en ataques de ransomware.
Si bien la vulnerabilidad (seguida como CVE-2024-1086) se reveló el 31 de enero de 2024 como una debilidad de uso después de la liberación en el componente del kernel netfilter: nf_tables y se solucionó mediante una confirmación. presentado en enero de 2024fue introducido por primera vez por un compromiso de hace una década en febrero 2014.
La explotación exitosa permite a los atacantes con acceso local escalar privilegios en el sistema de destino, lo que potencialmente resulta en acceso de nivel raíz a los dispositivos comprometidos.
Como laboratorios inmersivos explicael impacto potencial incluye la toma de control del sistema una vez que se obtiene acceso raíz (lo que permite a los atacantes desactivar defensas, modificar archivos o instalar malware), movimiento lateral a través de la red y robo de datos.
A finales de marzo de 2024, un investigador de seguridad que utilizaba el alias 'Notselwyn' publicó un redacción detallada y código de explotación de prueba de concepto (PoC) dirigido a CVE-2024-1086 en GitHub, que muestra cómo lograr una escalada de privilegios local en las versiones del kernel de Linux entre 5.14 y 6.6.
La falla afecta a muchas distribuciones importantes de Linux, incluidas, entre otras, Debian, Ubuntu, Fedora y Red Hat, que utilizan versiones del kernel de 3.15 a 6.8-rc1.
Marcado como explotado en ataques de ransomware
en un actualización del jueves A su catálogo de vulnerabilidades explotadas en la naturaleza, la agencia de ciberseguridad de EE. UU. dijo que ahora se sabe que la falla se utiliza en campañas de ransomware, pero no proporcionó más información sobre los intentos de explotación en curso.
CISA agregó esta falla de seguridad a su catálogo de vulnerabilidades explotadas conocidas (KEV) en mayo de 2024 y agencias federales ordenadas para proteger sus sistemas antes del 20 de junio de 2024.
Si no es posible aplicar parches, se recomienda a los administradores de TI que apliquen una de las siguientes mitigaciones:
- Lista de bloqueo 'nf_tables' si no es necesario o no se usa activamente,
- Restringir el acceso a los espacios de nombres de usuarios para limitar la superficie de ataque.
- Cargue Linux Kernel Runtime Guard (LKRG) módulo (sin embargo, esto puede causar inestabilidad en el sistema).
«Este tipo de vulnerabilidades son vectores de ataque frecuentes para ciberataques maliciosos y plantean riesgos importantes para la empresa federal». CISA dijo. «Aplique mitigaciones según las instrucciones del proveedor o suspenda el uso del producto si las mitigaciones no están disponibles».
¡Es temporada de presupuesto! Más de 300 CISO y líderes de seguridad han compartido cómo planifican, gastan y priorizan para el próximo año. Este informe recopila sus conocimientos, lo que permite a los lectores comparar estrategias, identificar tendencias emergentes y comparar sus prioridades de cara al 2026.
Descubra cómo los principales líderes están convirtiendo la inversión en un impacto mensurable.
