SOC Prime Bias: Kritisch

17 Nov. 2025 22:45
newspaper icon cve.org

CVE-2024-1086: Kritische Schwachstelle zur Rechteausweitung im Linux-Kernel

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
CVE-2024-1086: Kritische Schwachstelle zur Rechteausweitung im Linux-Kernel
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Analyse

CVE-2024-1086 ist eine kritische lokale Rechteausweitungsschwachstelle in der netfilter-Komponente (nf_tables) des Linux-Kernels, die einem lokalen Angreifer ermöglicht, Root-Rechte auf betroffenen Systemen zu erlangen. Es handelt sich um einen Use-after-Free/Double-Free-Bug, der etwa um 2014 eingeführt wurde, eine hohe Schweregradbewertung aufweist und bei realen Exploits beobachtet wurde.

Untersuchung

Der Fehler stammt aus der nft_verdict_init()-Logik innerhalb von nf_tables: Ein geschickt gebautes Drop-Error-Verständnis, kombiniert mit Hooks über nf_hook_slow(), kann zu einer Double-Free von Paketstrukturen führen, was zu einer Manipulation des Kernel-Speichers und einer Rechteausweitung führt. Es wurde ein Proof-of-Concept-Exploit-Code veröffentlicht, der erfolgreiche Ausnutzung über viele Kernel-Versionen hinweg zeigt (insbesondere 5.14 bis 6.6 und darüber hinaus), insbesondere wenn nicht privilegierte Benutzernamespaces aktiviert sind, und die Schwachstelle wurde in Ransomware-Kampagnen ausgenutzt.

Abmilderung

Administratoren sollten betroffene Linux-Kernel auf gepatchte Versionen aktualisieren, die die Double-Free-Bedingung beheben. Temporäre Maßnahmen umfassen das Deaktivieren von nicht privilegierten Benutzernamespaces (sysctl -w kernel.unprivileged_userns_clone=0) und diese Änderung über /etc/sysctl.d/ dauerhaft zu machen. Weitere Maßnahmen umfassen die Einschränkung des lokalen Zugriffs, die Beschränkung, wer Namespaces erstellen kann, sowie das Überwachen auf anomale Root-Shells oder andere Anzeichen für Kompromittierung des Kernels.

Reaktion

Behandeln Sie vermutete Exploits als hochpriorisierten Hostkompromiss: Isolieren Sie betroffene Systeme, führen Sie eine vollständige forensische Analyse der Kernel-Logs und Persistenz durch, ändern Sie Anmeldedaten und suchen Sie nach lateralen Bewegungen. Beschleunigen Sie das Patchen anfälliger Hosts, oder erwägen Sie den Rückzug von Systemen, die nicht aktualisiert werden können. Aktualisieren Sie Erkennungs- und Jagdregeln, um Indikatoren für nf_tables-Speicherkorruption und entsprechende Exploit-Versuche abzudecken.

Angriffsfluss

Wir aktualisieren diesen Teil noch. Melden Sie sich an, um benachrichtigt zu werden

Benachrichtige mich

Erkennungsregeln

Wir aktualisieren diesen Teil noch. Melden Sie sich an, um benachrichtigt zu werden

Benachrichtige mich

Payload-Anweisungen

Wir aktualisieren diesen Teil noch. Melden Sie sich an, um benachrichtigt zu werden

Benachrichtige mich

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Kostenlos beitreten