1. TugaTech » Software » Noticias de Software
  Login     Registar    |                      
Siga-nos

TugaTech » Software » Noticias de Software » Alerta CISA: Falha crítica no kernel Linux explorada em ataques de ransomware

Linux em fundo de código

A Agência de Cibersegurança e Segurança de Infraestruturas dos EUA (CISA) confirmou que uma vulnerabilidade de alta gravidade no kernel Linux, com uma década de existência, está a ser ativamente explorada em ataques de ransomware. A falha, registada como CVE-2024-1086, permite que atacantes com acesso local obtenham controlo total sobre os sistemas afetados.

Uma vulnerabilidade com uma década de história

A vulnerabilidade foi originalmente introduzida no código do kernel em fevereiro de 2014, mas só foi publicamente divulgada a 31 de janeiro de 2024. Trata-se de uma falha do tipo "use-after-free" no componente nf_tables do netfilter, um subsistema responsável pela filtragem de pacotes de rede.

O problema afeta uma vasta gama das principais distribuições Linux, incluindo, entre outras, o Debian, Ubuntu, Fedora e Red Hat, impactando as versões do kernel desde a 3.15 até à 6.8-rc1. A situação agravou-se no final de março de 2024, quando um investigador de segurança publicou no GitHub uma análise detalhada e um código de prova de conceito (PoC) que demonstrava como explorar a falha para conseguir uma escalada de privilégios em várias versões do kernel.

O que está em risco?

A exploração bem-sucedida do CVE-2024-1086 permite que um atacante com acesso local ao sistema eleve os seus privilégios para o nível de "root" (administrador). Como detalha a Immersive Labs, uma vez obtido este acesso, as consequências podem ser devastadoras, incluindo:

  • Controlo total do sistema: Permitindo aos atacantes desativar defesas, modificar ficheiros ou instalar outro tipo de malware.

  • Movimento lateral: Utilizar o sistema comprometido como um ponto de partida para atacar outros dispositivos na mesma rede.

  • Roubo de dados: Aceder e exfiltrar informação sensível armazenada no equipamento.

CISA emite alerta e ordena correções

Embora a CISA tenha adicionado esta vulnerabilidade ao seu catálogo de vulnerabilidades exploradas conhecidas (KEV) em maio de 2024, ordenando que as agências federais protegessem os seus sistemas até 20 de junho, a agência atualizou agora a entrada para confirmar que a falha está a ser utilizada especificamente em campanhas de ransomware.

Para os administradores de TI que não consigam aplicar as correções de segurança de imediato, a CISA recomenda algumas mitigações:

  • Bloquear o módulo 'nf_tables' caso não esteja a ser ativamente utilizado.

  • Restringir o acesso a 'user namespaces' para limitar a superfície de ataque.

  • Carregar o módulo Linux Kernel Runtime Guard (LKRG), embora esta opção possa causar alguma instabilidade no sistema.

"Estes tipos de vulnerabilidades são vetores de ataque frequentes para atores maliciosos e representam riscos significativos", alertou a CISA, reforçando a necessidade de aplicar as mitigações recomendadas pelos fornecedores ou descontinuar o uso de produtos afetados se não existirem correções disponíveis. Os utilizadores e administradores de sistemas baseados em Linux, como o Debian, devem verificar e aplicar as atualizações de segurança com a máxima urgência.

Foto do Autor

Aficionado por tecnologia desde o tempo dos sistemas a preto e branco

Ver perfil do usuário Enviar uma mensagem privada Enviar um email Facebook do autor Twitter do autor Skype do autor

conectado
Encontrou algum erro neste artigo?



Aplicações do TugaTechAplicações TugaTechDiscord do TugaTechDiscord do TugaTechRSS TugaTechRSS do TugaTechSpeedtest TugaTechSpeedtest TugatechHost TugaTechHost TugaTech