CISA: High-severity Linux flaw now exploited by ransomware gangs
Mis à jour :
Exploitation d’une vulnérabilité critique du noyau Linux
Une faille de sécurité de gravité élevée dans le noyau Linux, identifiée sous la référence CVE-2024-1086, est activement exploitée dans le cadre d’attaques de ransomware. Cette vulnérabilité de type “use-after-free” affecte le composant netfilter: nf_tables et permet à un attaquant disposant d’un accès local d’obtenir des privilèges élevés, potentiellement jusqu’à un accès root. L’exploitation réussie peut mener à la prise de contrôle du système, au déplacement latéral au sein du réseau et au vol de données.
La faille, corrigée en janvier 2024, avait été introduite il y a une décennie. Elle touche de nombreuses distributions Linux majeures, notamment Debian, Ubuntu, Fedora et Red Hat, pour des versions du noyau comprises entre 3.15 et 6.8-rc1.
Points Clés :
- Vulnérabilité : CVE-2024-1086
- Nature : Escalade de privilèges locale (“use-after-free” dans netfilter: nf_tables)
- Exploitation : Confirmée dans des campagnes de ransomware.
- Impact : Obtention de privilèges root, prise de contrôle du système, déplacement latéral, vol de données.
- Versions affectées : Noyau Linux entre 3.15 et 6.8-rc1.
- Contexte : La faille a été divulguée début 2024 mais corrigée, cependant, des preuves de concept existent et l’exploitation est désormais avérée.
Vulnérabilités :
- CVE-2024-1086 : Escalade de privilèges dans le composant netfilter: nf_tables du noyau Linux.
Recommandations :
Les organisations doivent impérativement appliquer les correctifs disponibles pour leurs systèmes Linux. Si la mise à jour immédiate n’est pas possible, les atténuations suivantes sont conseillées :
- Bloquer le module
nf_tabless’il n’est pas utilisé. - Restreindre l’accès aux espaces de noms utilisateur pour limiter la surface d’attaque.
- Charger le module LKRG (Linux Kernel Runtime Guard), bien que cela puisse potentiellement causer une instabilité du système.