©2022 - Todos os Direitos Reservados
Polìtica de Privacidade
Entrar em contato
ameaças cibernéticas

Vulnerabilidade de elevação de privilégios no Linux sendo ativamente explorada: CVE-2024-1086

Inteligência Artificial

2 min read
Vulnerabilidade de elevação de privilégios no Linux sendo ativamente explorada: CVE-2024-1086

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou duas vulnerabilidades ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), incluindo uma falha de elevação de privilégios no kernel do Linux. A falha de alta severidade, identificada como CVE-2024-1086, foi divulgada pela primeira vez em 31 de janeiro de 2024, como um problema de use-after-free no componente netfilter: nf_tables, mas foi introduzida por um commit em fevereiro de 2014. Netfilter é uma estrutura fornecida pelo kernel do Linux que permite várias operações relacionadas a redes, como filtragem de pacotes, tradução de endereços de rede (NAT) e manipulação de pacotes.

A vulnerabilidade ocorre porque a função 'nft_verdict_init()' permite que valores positivos sejam usados como um erro de descarte dentro do veredito do hook, fazendo com que a função 'nf_hook_slow()' execute um duplo free quando NF_DROP é emitido com um erro de descarte que se assemelha a NF_ACCEPT. A exploração do CVE-2024-1086 permite que um atacante com acesso local consiga elevação de privilégios no sistema alvo, potencialmente obtendo acesso ao nível root.

O problema foi corrigido através de um commit submetido em janeiro de 2024, que rejeita os parâmetros de veredito QUEUE/DROP, evitando assim a exploração. A correção foi retrocompatibilizada para múltiplas versões estáveis do kernel, conforme listado abaixo:

  • v6.7.3 e posteriores
  • v5.15.149 e posteriores
  • v6.1.76 e posteriores
  • v4.19.307 e posteriores
  • v6.6.15 e posteriores
  • v5.10.210 e posteriores
  • v5.4.269 e posteriores

No final de março de 2024, um pesquisador de segurança usando o pseudônimo 'Notselwyn' publicou uma análise detalhada e um exploit de prova de conceito (PoC) no GitHub, demonstrando como alcançar a elevação de privilégios locais explorando a falha em versões do kernel Linux entre 5.14 e 6.6. Embora a maioria das distribuições Linux tenha lançado correções rapidamente, a Red Hat não liberou uma correção até março, possibilitando que atores maliciosos usassem o exploit público em sistemas comprometidos.

A CISA não compartilhou detalhes específicos sobre como a vulnerabilidade é explorada, mas há informações em fóruns de hacking sobre os exploits públicos. A agência de cibersegurança deu às agências federais até 20 de junho de 2024 para aplicar os patches disponíveis. Se a atualização não for possível, os administradores são recomendados a aplicar as seguintes mitigações:

  • Carregar o módulo Linux Kernel Runtime Guard (LKRG) (pode causar instabilidade).
  • Restringir o acesso a namespaces de usuários para limitar a superfície de ataque.
  • Bloquear 'nf_tables' se não for necessário/utilizado ativamente.

A seguda falha adicionada pela CISA ao catálogo KEV desta vez, também com prazo até 20 de junho, é a CVE-2024-24919, uma vulnerabilidade de divulgação de informações que impacta dispositivos VPN da Check Point. Após a divulgação do fornecedor e o lançamento da atualização de segurança para esta falha, pesquisadores do Watchtowr Labs publicaram sua análise, ressaltando que a vulnerabilidade é muito pior do que o boletim da Check Point refletiu.

Quer amadurecer seu programa de segurança cibernética? Conheça a EcoTrust, uma plataforma CAASM (Cyber Asset Attack Surface Management) que prioriza riscos cibernéticos críticos para os negócios, integrando IA para segurança avançada. Agende uma demo aqui

Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.

Sign up for more like this.

Enter your email
Subscribe