SOC Prime Bias: Crítico

17 Nov 2025 22:45
newspaper icon cve.org

CVE-2024-1086: Falha Crítica de Escalação de Privilégios no Kernel Linux

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
CVE-2024-1086: Falha Crítica de Escalação de Privilégios no Kernel Linux
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Análise

CVE-2024-1086 é uma vulnerabilidade crítica de escalonamento de privilégios locais no componente netfilter (nf_tables) do kernel Linux, que permite que um invasor local obtenha privilégios de root em sistemas afetados. É um bug de uso após liberação/liberação dupla que foi introduzido por volta de 2014, possui uma pontuação de gravidade alta e já foi observado em explorações no mundo real.

Investigação

A falha origina-se na lógica nft_verdict_init() dentro de nf_tables: um veredicto de erro descartado elaborado combinado com ganchos via nf_hook_slow() pode desencadear uma liberação dupla de estruturas de pacotes, levando à corrupção de memória do kernel e escalonamento de privilégios. Código de exploração de prova de conceito foi publicado mostrando exploração bem-sucedida em várias versões do kernel (notavelmente de 5.14 até 6.6 e além), especialmente onde namespaces de usuários não privilegiados estão habilitados, e a vulnerabilidade tem sido explorada em campanhas de ransomware.

Mitigação

Os administradores devem atualizar os kernels Linux afetados para versões corrigidas que eliminem a condição de liberação dupla. Mitigações temporárias incluem desabilitar namespaces de usuários não privilegiados (sysctl -w kernel.unprivileged_userns_clone=0) e tornar essa alteração persistente via /etc/sysctl.d/. Medidas adicionais incluem restringir o acesso local, limitar quem pode criar namespaces e monitorar por shells root anômalos ou outros sinais de comprometimento do kernel.

Resposta

Trate suspeitas de exploração como um comprometimento de host de alta prioridade: isole sistemas afetados, realize uma análise forense completa dos logs do kernel e persistência, altere credenciais e procure movimento lateral. Acelere a correção de hosts vulneráveis ou considere aposentar sistemas que não possam ser atualizados. Atualize as regras de detecção e caça para abranger indicadores de corrupção de memória do nf_tables e tentativas de exploração relacionadas.

Fluxo de Ataque

Ainda estamos atualizando esta parte. Inscreva-se para ser notificado

Notifique-me

Regras de Detecção

Ainda estamos atualizando esta parte. Inscreva-se para ser notificado

Notifique-me

Instruções de Payload

Ainda estamos atualizando esta parte. Inscreva-se para ser notificado

Notifique-me

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Junte-se Gratuitamente