A Agência de Cibersegurança e Segurança de Infraestruturas dos EUA (CISA) confirmou que uma vulnerabilidade de alta gravidade no kernel Linux, com uma década de existência, está a ser ativamente explorada em ataques de ransomware. A falha, registada como CVE-2024-1086, permite que atacantes com acesso local obtenham controlo total sobre os sistemas afetados.
Uma vulnerabilidade com uma década de história
A vulnerabilidade foi originalmente introduzida no código do kernel em fevereiro de 2014, mas só foi publicamente divulgada a 31 de janeiro de 2024. Trata-se de uma falha do tipo "use-after-free" no componente nf_tables do netfilter, um subsistema responsável pela filtragem de pacotes de rede.
O problema afeta uma vasta gama das principais distribuições Linux, incluindo, entre outras, o Debian, Ubuntu, Fedora e Red Hat, impactando as versões do kernel desde a 3.15 até à 6.8-rc1. A situação agravou-se no final de março de 2024, quando um investigador de segurança publicou no GitHub uma análise detalhada e um código de prova de conceito (PoC) que demonstrava como explorar a falha para conseguir uma escalada de privilégios em várias versões do kernel.
O que está em risco?
A exploração bem-sucedida do CVE-2024-1086 permite que um atacante com acesso local ao sistema eleve os seus privilégios para o nível de "root" (administrador). Como detalha a Immersive Labs, uma vez obtido este acesso, as consequências podem ser devastadoras, incluindo:
Controlo total do sistema: Permitindo aos atacantes desativar defesas, modificar ficheiros ou instalar outro tipo de malware.
Movimento lateral: Utilizar o sistema comprometido como um ponto de partida para atacar outros dispositivos na mesma rede.
Roubo de dados: Aceder e exfiltrar informação sensível armazenada no equipamento.
CISA emite alerta e ordena correções
Embora a CISA tenha adicionado esta vulnerabilidade ao seu catálogo de vulnerabilidades exploradas conhecidas (KEV) em maio de 2024, ordenando que as agências federais protegessem os seus sistemas até 20 de junho, a agência atualizou agora a entrada para confirmar que a falha está a ser utilizada especificamente em campanhas de ransomware.
Para os administradores de TI que não consigam aplicar as correções de segurança de imediato, a CISA recomenda algumas mitigações:
Bloquear o módulo 'nf_tables' caso não esteja a ser ativamente utilizado.
Restringir o acesso a 'user namespaces' para limitar a superfície de ataque.
Carregar o módulo Linux Kernel Runtime Guard (LKRG), embora esta opção possa causar alguma instabilidade no sistema.
"Estes tipos de vulnerabilidades são vetores de ataque frequentes para atores maliciosos e representam riscos significativos", alertou a CISA, reforçando a necessidade de aplicar as mitigações recomendadas pelos fornecedores ou descontinuar o uso de produtos afetados se não existirem correções disponíveis. Os utilizadores e administradores de sistemas baseados em Linux, como o Debian, devem verificar e aplicar as atualizações de segurança com a máxima urgência.
Nenhum comentário
Seja o primeiro!