美國網路安全暨基礎設施安全局(CISA)於本週四證實,Linux 內核權限提升漏洞 CVE-2024-1086 已遭勒索軟體集團實際利用。該漏洞影響多個主流 Linux 發行版,攻擊者可藉此取得系統最高權限。CISA 已將此漏洞列入已知遭利用漏洞目錄(KEV),呼籲各組織立即採取防護措施。
十年舊程式碼釀成資安危機
CVE-2024-1086 是 Linux 內核netfilter: nf_tables 元件中的釋放後使用(use-after-free)漏洞。儘管漏洞於 2024 年 1 月 31 日揭露並釋出修補程式,但其根源可追溯至 2014 年 2 月的程式碼提交,潛藏長達十年。
成功利用此漏洞的攻擊者若已取得系統本地存取權限,即可將權限提升至 root 層級,進而完全控制受影響裝置。資安研究機構 Immersive Labs 說明,潛在影響包括取得 root 權限後的系統接管,也就是說攻擊者可停用防禦機制、修改檔案或安裝惡意軟體、透過網路橫向移動,以及資料竊取。
影響範圍與攻擊時間軸
此漏洞影響 Linux 核心版本 5.14 至 6.6。更廣泛來看,使用內核版本 3.15 至 6.8-rc1 的眾多主流 Linux 發行版都受到影響,包括 Debian、Ubuntu、Fedora 及 Red Hat 等。
今年 3 月下旬,一名使用「Notselwyn」化名的資安研究人員在 GitHub 上公開詳細技術分析與概念驗證攻擊程式碼(PoC),展示如何在 Linux 核心版本 5.14 至 6.6 之間實現本地權限提升。這份公開資料大幅降低攻擊門檻。
確認遭勒索軟體利用
CISA 在近日更新的已知遭利用漏洞目錄中指出,CVE-2024-1086 目前已知遭用於勒索軟體攻擊行動,但並未提供更多關於正在進行的攻擊活動細節。
CISA 早在 2024 年 5 月就已將此漏洞列入 KEV 目錄,並要求美國聯邦機構必須在 2024 年 6 月 20 日前完成系統防護。此次更新明確指出漏洞已遭勒索軟體利用。
若無法進行修補,IT 管理人員可採取以下緩解措施:
- 封鎖 nf_tables 模組:若系統未主動使用 nf_tables 功能,可將該模組加入封鎖清單(blocklist)。
- 限制使用者命名空間存取:限制使用者命名空間(user namespaces)的存取權限,以縮小攻擊面。
- 載入 Linux 內核執行時期防護模組(LKRG):載入 Linux Kernel Runtime Guard 模組提供防護,但此做法可能導致系統不穩定。
本文轉載自bleepingcomputer。