CVE-2024-1086: Kritische Schwachstelle zur Rechteausweitung im Linux-Kernel

Analyse

CVE-2024-1086 ist eine kritische lokale Rechteausweitungsschwachstelle in der netfilter-Komponente (nf_tables) des Linux-Kernels, die einem lokalen Angreifer ermöglicht, Root-Rechte auf betroffenen Systemen zu erlangen. Es handelt sich um einen Use-after-Free/Double-Free-Bug, der etwa um 2014 eingeführt wurde, eine hohe Schweregradbewertung aufweist und bei realen Exploits beobachtet wurde.

Untersuchung

Der Fehler stammt aus der nft_verdict_init()-Logik innerhalb von nf_tables: Ein geschickt gebautes Drop-Error-Verständnis, kombiniert mit Hooks über nf_hook_slow(), kann zu einer Double-Free von Paketstrukturen führen, was zu einer Manipulation des Kernel-Speichers und einer Rechteausweitung führt. Es wurde ein Proof-of-Concept-Exploit-Code veröffentlicht, der erfolgreiche Ausnutzung über viele Kernel-Versionen hinweg zeigt (insbesondere 5.14 bis 6.6 und darüber hinaus), insbesondere wenn nicht privilegierte Benutzernamespaces aktiviert sind, und die Schwachstelle wurde in Ransomware-Kampagnen ausgenutzt.

Abmilderung

Administratoren sollten betroffene Linux-Kernel auf gepatchte Versionen aktualisieren, die die Double-Free-Bedingung beheben. Temporäre Maßnahmen umfassen das Deaktivieren von nicht privilegierten Benutzernamespaces (sysctl -w kernel.unprivileged_userns_clone=0) und diese Änderung über /etc/sysctl.d/ dauerhaft zu machen. Weitere Maßnahmen umfassen die Einschränkung des lokalen Zugriffs, die Beschränkung, wer Namespaces erstellen kann, sowie das Überwachen auf anomale Root-Shells oder andere Anzeichen für Kompromittierung des Kernels.

Reaktion

Behandeln Sie vermutete Exploits als hochpriorisierten Hostkompromiss: Isolieren Sie betroffene Systeme, führen Sie eine vollständige forensische Analyse der Kernel-Logs und Persistenz durch, ändern Sie Anmeldedaten und suchen Sie nach lateralen Bewegungen. Beschleunigen Sie das Patchen anfälliger Hosts, oder erwägen Sie den Rückzug von Systemen, die nicht aktualisiert werden können. Aktualisieren Sie Erkennungs- und Jagdregeln, um Indikatoren für nf_tables-Speicherkorruption und entsprechende Exploit-Versuche abzudecken.