"Проснулись, называется." Зафиксирована волна атак на старые Linux-серверы: патч-то был, но админам было лень

linux уязвимость cisa ransomware ядро
"Проснулись, называется." Зафиксирована волна атак на старые Linux-серверы: патч-то был, но админам было лень
linux уязвимость cisa ransomware ядро

Вымогатели активно используют устаревшую уязвимость в Linux CVE-2024-1086 на не обновлённых серверах.

image

Американское агентство по кибербезопасности и инфраструктурной безопасности (CISA) подтвердило, что уязвимость повышенной опасности в ядре Linux активно используется в атаках с применением вымогательского ПО.

Речь идёт об ошибке CVE-2024-1086 — уязвимости типа use-after-free в компоненте netfilter: nf_tables. Проблема была раскрыта 31 января 2024 года и исправлена в январском коммите в репозитории Linux. Ошибка существовала почти десять лет — она была впервые добавлена в коде ещё в феврале 2014 года.

Эксплуатация уязвимости позволяет злоумышленнику с локальным доступом повысить свои привилегии до уровня root, получая полный контроль над системой. По данным Immersive Labs, это даёт возможность отключить защиту, изменить файлы, установить вредоносное ПО и распространяться по сети, похищая данные.

В конце марта исследователь под псевдонимом Notselwyn опубликовал техническое описание и исходный код эксплойта на GitHub, демонстрирующие, как можно получить локальное повышение привилегий на ядрах Linux версий от 5.14 до 6.6.

Проблема затрагивает большинство популярных дистрибутивов — Debian, Ubuntu, Fedora, Red Hat и другие, использующие ядра от версии 3.15 до 6.8-rc1.

В обновлении каталога известных эксплуатируемых уязвимостей CISA агентство подтвердило, что CVE-2024-1086 применяется в реальных атаках с использованием программ-вымогателей. Детали активных кампаний пока не раскрываются.

Ещё в мае 2024 года CISA добавила уязвимость в каталог KEV и обязала федеральные ведомства устранить её до 20 июня.

Если обновление системы невозможно, агентство рекомендует временно ограничить воздействие уязвимости:

  1. Заблокировать использование nf_tables, если модуль не применяется.
  2. Ограничить доступ к пользовательским пространствам имён (user namespaces).
  3. Загрузить модуль Linux Kernel Runtime Guard (LKRG), который предотвращает изменение ядра, хотя это может привести к нестабильности системы.

CISA напомнила, что подобные уязвимости часто используются злоумышленниками и представляют серьёзную угрозу не только государственным сетям, но и инфраструктуре крупных компаний.