Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) подтвердило в четверг, что уязвимость высокой степени опасности, позволяющая повысить привилегии в ядре Linux, теперь используется в атаках с применением программ-вымогателей.
Речь идет об уязвимости CVE-2024-1086, которая была раскрыта 31 января 2024 года. Она представляет собой ошибку использования данных после освобождения памяти в компоненте ядра netfilter: nf_tables и была исправлена коммитом, опубликованным в январе 2024 года. Однако сама уязвимость появилась еще десять лет назад — в феврале 2014 года, когда был внесен соответствующий исходный коммит.
Успешная эксплуатация этой ошибки позволяет злоумышленникам, имеющим локальный доступ к системе, повысить свои привилегии, что потенциально дает им доступ уровня root на скомпрометированном устройстве.
Как поясняют специалисты из Immersive Labs, последствия эксплуатации могут быть крайне серьезными: после получения root-доступа злоумышленник способен полностью захватить систему, отключать защитные механизмы, изменять файлы, устанавливать вредоносное ПО, перемещаться по внутренней сети и похищать данные.
В конце марта 2024 года исследователь под псевдонимом Notselwyn опубликовалподробное описание и доказательство концепции (PoC) эксплойта на GitHub, наглядно демонстрирующего, как можно добиться повышения привилегий на локальном уровне в версиях ядра Linux от 5.14 до 6.6.
Уязвимость затрагивает множество популярных дистрибутивов Linux — включая Debian, Ubuntu, Fedora и Red Hat, использующих версии ядра от 3.15 до 6.8-rc1.
Используется в атаках с вымогательским ПО
В обновлении своего каталога эксплуатируемых уязвимостей, опубликованном в четверг, CISA сообщает, что эта уязвимость теперь используется в реальных кампаниях с программами-вымогателями. Однако подробности о текущих случаях эксплуатации не были раскрыты.
CISA добавила эту уязвимость в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV) еще в мае 2024 года и обязала все федеральные ведомства защитить свои системы не позднее 20 июня 2024 года.
Если установка патча невозможна, системным администраторам рекомендуется применить одно из следующих временных решений:
- Заблокировать использование nf_tables, если этот модуль не требуется или не используется активно.
- Ограничить доступ к пространствам имен пользователей (user namespaces), чтобы сократить поверхность атаки.
- Загрузить модуль Linux Kernel Runtime Guard (LKRG), который препятствует подобным атакам (однако он может вызывать нестабильность системы).
CISA подчеркивает:
Подобные уязвимости часто используются злоумышленниками и представляют серьезную угрозу для государственных систем. Следует немедленно применить меры защиты в соответствии с инструкциями производителя или прекратить использование продукта, если патч или обходное решение недоступны.
Угрозы безопасности
• CISA: уязвимость в Linux используется в атаках с вымогательским ПО
• Новая волна атак: инфостилер RedTiger нацелился на пользователей Discord
• TP-Link предупреждает о критической уязвимости внедрения команд в шлюзах Omada
• Сайт Xubuntu взломали: вместо установочного файла распространялся вирус для Windows
• Хакеры заявляют об утечке данных 5,5 миллиона пользователей Discord. Компания подтверждает компрометацию 70 000 аккаунтов
• Поддельные страницы сервиса itch.io крадут аккаунты геймеров и устанавливают вредоносное ПО