CVE-2024-1086 Sicherheitslücke: Kritische Privilegieneskalationslücke im Linux-Kernel in Ransomware-Angriffen ausgenutzt
Unmittelbar nach Berichten über CVE-2025-59287, eine kritische RCE-Sicherheitslücke in WSUS-Systemen, die in freier Wildbahn ausgenutzt wird, wurde eine weitere hochgradige Schwachstelle im Linux-Kernel beobachtet, die aktiv in Ransomware Angriffen auftritt. CISA bestätigte ihre Ausnutzung und warnte, dass der Missbrauch von CVE-2024-1086 in offensiven Kampagnen Angreifern mit lokalem Zugriff ermöglicht, Root-Rechte auf betroffenen Systemen zu erlangen.
Zum dritten Mal in Folge bleiben ausgenutzte Schwachstellen die häufigste technische Ursache für Ransomware-Angriffe, die in 32 % der Vorfälle verwickelt sind, laut dem Bericht ‚The State of Ransomware 2025 von Sophos. Ransomware-Gruppen nutzen zunehmend Software-Schwachstellen als primären Einstiegspunkt in Unternehmenssysteme, während Social Engineering und gestohlene Anmeldeinformationen weiterhin eine wichtige Rolle bei Angriffen spielen. Mit über 40.000 neuen Schwachstellen die dieses Jahr von NIST protokolliert wurden, stehen Organisationen vor einer wachsenden Herausforderung, da die proaktive Identifizierung und Behebung dieser Schwachstellen entscheidend ist, um die Angriffsfläche zu reduzieren und sich gegen zunehmend raffinierte Ransomware-Bedrohungen zu verteidigen. this year, organizations face a growing challenge, as proactively identifying and fixing these flaws is essential to reducing the attack surface and defending against increasingly sophisticated ransomware threats.
Melden Sie sich für die SOC Prime Plattform an, um auf den globalen Echtzeit-Feed für Cyber-Bedrohungen zuzugreifen, der kuratierte Erkennungsalgorithmen zur Bewältigung aufkommender Bedrohungen bietet. Alle Regeln sind mit mehreren SIEM-, EDR- und Data-Lake-Formaten kompatibel und auf das MITRE ATT&CK® Rahmenwerk abgebildet. Zusätzlich ist jede Regel um CTI Links, Angriffszeitpläne, Prüfkonfigurationen, Triagempfehlungen und weiteres relevantes Kontextmaterial angereichert. Drücken Sie „Entdeckungen Erkunden“ um den gesamten Erkennungs-Stack für proaktive Verteidigung gegen kritische Schwachstellen zu sehen, gefiltert nach dem „CVE“-Tag.
Zusätzlich könnten Cyber-Verteidiger ihre Abwehr mit einem kuratierten Erkennungs-Stack gegen Ransomware-Angriffe stärken. Suchen Sie einfach nach relevantem Erkennungsinhalt im Threat Detection Marketplace mit dem Tag „Ransomware“.
Sicherheitsingenieure können auch Uncoder AI nutzen, eine IDE und Co-Pilot für Detection Engineering. Mit Uncoder können Verteidiger IOCs sofort in benutzerdefinierte Hunting-Abfragen konvertieren, Erkennungscode aus Roh-Berichten erstellen, Attack Flow-Diagramme generieren, ATT&CK-Tag-Vorhersagen aktivieren, AI-gesteuerte Abfrageoptimierung nutzen und Erkennungsinhalte plattformübergreifend übersetzen.
CVE-2024-1086 Analyse
CISA hat kürzlich eine dringende Warnung zu einer kritischen Sicherheitslücke im Linux-Kernel herausgegeben, die als CVE-2024-1086 bekannt ist. Dieser kritische Use-After-Free-Fehler (mit einem CVSS-Score von 7,8), verborgen im netfilter: nf_tables Komponente, ermöglicht es Angreifern mit lokalem Zugriff, Root-Rechte auf betroffenen Systemen zu erlangen und möglicherweise Ransomware einzusetzen, was die Unternehmenssysteme weltweit schwerwiegend stören oder möglicherweise beliebigen Code ausführen könnte.
Die Schwachstelle wurde im Januar 2024 offengelegt und behoben, obwohl sie aus Code stammt, der bereits 2014 eingeführt wurde. Sie wurde am 30. Mai 2024 dem CISA-Katalog bekannter ausgenutzter Schwachstellen (KEV) hinzugefügt , und Ende Oktober 2025 veröffentlichte CISA eine Mitteilung, die bestätigte, dass die Schwachstelle bekanntermaßen aktiv in Ransomware-Kampagnen genutzt wird. Bemerkenswerterweise ist der Proof-of-Concept (PoC)-Exploit für die Schwachstelle seit März 2024 verfügbar, als ein Forscher mit dem Alias „Notselwyn“ eine CVE-2024-1086 PoC auf GitHub veröffentlichte, der eine lokale Privilegieneskalation auf Linux-Kernels von 5.14 bis 6.6 demonstriert.
Durch Ausnutzung dieser Schwachstelle können Angreifer Sicherheitskontrollen umgehen, administrativen Zugriff erlangen und sich seitlich über Netzwerke bewegen. Sobald Root-Rechte erreicht sind, können Ransomware-Betreiber Endpunktschutz deaktivieren, kritische Dateien verschlüsseln, sensible Daten exfiltrieren und dauerhaften Zugriff etablieren.
Das netfilter-Subsystem, das für Paketfilterung und Netzwerkadressübersetzung verantwortlich ist, macht diese Schwachstelle besonders wertvoll für Angreifer, die den Netzwerkverkehr manipulieren oder Sicherheitsmechanismen schwächen möchten. Typischerweise wird CVE-2024-1086 ausgenutzt, nachdem Angreifer einen ersten Zugang durch Phishing, gestohlene Anmeldedaten oder internet-verbundene Sicherheitslücken erhalten haben, um den begrenzten Benutzerzugang in volle administrative Kontrolle zu verwandeln.
CISAs Klassifizierung von CVE-2024-1086 als eine Schwachstelle, die „bekanntermaßen in Ransomware-Kampagnen verwendet wird“, unterstreicht ihre Schwere und den dringenden Bedarf für Organisationen, die Patch-Bereitstellung zu überprüfen und mindernde Kontrollen in Linux-Umgebungen umzusetzen.
Als potenzielle CVE-2024-1086 Milderungsmaßnahme rät der Anbieter, die Erstellung von Namensräumen für unvertraute Benutzer zu deaktivieren. Um es vorübergehend auszuschalten, wird empfohlen, sudo sysctl -w kernel.unprivileged_userns_clone=0 auszuführen, während das Ausführen von echo kernel.unprivileged_userns_clone=0 | sudo tee /etc/sysctl.d/99-disable-unpriv-userns.conf nach dem Neustart eine dauerhafte Änderung bewirkt.
Die Verbesserung proaktiver Cyber-Verteidigungsstrategien ist entscheidend für Organisationen, um effektiv und zeitnah die Risiken der Ausnutzung von Schwachstellen zu verringern. Indem die umfassende Produktsuite von SOC Prime genutzt wird können globale Organisationen ihre Cyber-Verteidigung zukunftssicher machen und ihre Cyber-Sicherheitslage stärken.
