美国网络安全机构 CISA 周四警告各组织,威胁行为者正在积极利用 Linux 内核中的最新漏洞。该漏洞被标记为CVE-2024-1086,被描述为“netfilter: nf_tables”组件中的一个释放后bug。利用该漏洞,本地攻击者可以提升到root权限,并能执行任意代码。
Linux 内核版本 5.14 到 6.6 之间受到该漏洞的影响,潜在问题可能会影响从 3.15 版本开始的所有内核迭代。补丁已于 2024 年 2 月发布,已确认 AlmaLinux、Debian、Gentoo、Red Hat、SUSE 和 Ubuntu 受到影响。其他 Linux 发行版也可能存在漏洞。
3 月底,发现 CVE-2024-1086 的漏洞猎人 Notselwyn 发布了概念验证 (PoC) 代码,声称成功率为 99.4%,并警告称该漏洞很容易被利用。
研究人员在技术文章中解释道,这个漏洞是一个双重释放漏洞,其根源在于在启用 nf_tables 和非特权用户命名空间时,netfilter 中的输入清理不足。
Notselwyn 指出:“该漏洞仅针对数据,并使用新颖的 Dirty Pagedirectory 技术(页表混淆)从用户空间执行内核空间镜像攻击 (KSMA),只需对用户空间地址执行读/写操作,即可将任何物理地址(及其权限)链接到虚拟内存地址。” Dirty Pagedirectory 是Dirty Pagetable的变体。
成功利用该漏洞将导致内核崩溃或任意代码执行,研究人员解释了如何利用该漏洞来释放通用 root shell。
周四,即漏洞公开两个月后,CISA 将 CVE-2024-1086 添加到其已知被利用漏洞 (KEV) 目录中,并警告威胁行为者正在野外对其进行攻击。
该机构并未提及该漏洞是否被利用于勒索软件攻击。目前似乎没有关于涉及 CVE-2024-1086 的攻击的信息。
根据《具有约束力的操作指令》(BOD)22-01,联邦机构必须在 6 月 20 日之前应用可用的补丁或缓解措施。
该网络安全机构指出:“尽管 BOD 22-01 仅适用于 FCEB 机构,但 CISA 强烈敦促所有组织通过优先考虑及时补救措施来减少遭受网络攻击的风险。”
