SOC Prime Bias: Crítico

17 Nov 2025 22:45
newspaper icon cve.org

CVE-2024-1086: Falla Crítica de Escalada de Privilegios en el Núcleo de Linux

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
CVE-2024-1086: Falla Crítica de Escalada de Privilegios en el Núcleo de Linux
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Análisis

CVE-2024-1086 es una vulnerabilidad crítica de escalada de privilegios locales en el componente netfilter (nf_tables) del núcleo de Linux que permite a un atacante local obtener privilegios de root en los sistemas afectados. Es un error de uso después de liberación/liberación doble que se introdujo alrededor de 2014, tiene una alta puntuación de severidad y ha sido observado en explotación real.

Investigación

La falla se origina en la lógica nft_verdict_init() dentro de nf_tables: un veredicto de error de caída diseñado combinado con enlaces a través de nf_hook_slow() puede desencadenar una liberación doble de estructuras de paquetes, lo que lleva a la corrupción de memoria del núcleo y la escalada de privilegios. Se publicó un código de prueba de concepto que muestra una explotación exitosa en muchas versiones del núcleo (notablemente desde la 5.14 hasta la 6.6 y posteriores), especialmente donde los espacios de nombres de usuario no privilegiados están habilitados, y la vulnerabilidad ha sido aprovechada en campañas de ransomware.

Mitigación

Los administradores deben actualizar los núcleos de Linux afectados a versiones parcheadas que cierren la condición de liberación doble. Las mitigaciones temporales incluyen deshabilitar los espacios de nombres de usuario no privilegiados (sysctl -w kernel.unprivileged_userns_clone=0) y hacer que ese cambio sea persistente a través de /etc/sysctl.d/. Medidas adicionales incluyen restringir el acceso local, limitar quién puede crear espacios de nombres y monitorear para detectar shells raíz anómalos u otros signos de compromiso del núcleo.

Respuesta

Tratar la explotación sospechosa como un compromiso de host de alta prioridad: aislar los sistemas afectados, realizar un análisis forense completo de los registros del núcleo y la persistencia, rotar credenciales y buscar movimientos laterales. Acelerar el parcheo de hosts vulnerables o considerar retirar sistemas que no puedan ser actualizados. Actualizar las reglas de detección y búsqueda para cubrir indicadores de corrupción de memoria de nf_tables e intentos de explotación relacionados.

Flujo de Ataque

Todavía estamos actualizando esta parte. Regístrese para recibir notificaciones

Notifíquenme

Reglas de Detección

Todavía estamos actualizando esta parte. Regístrese para recibir notificaciones

Notifíquenme

Instrucciones de Carga Útil

Todavía estamos actualizando esta parte. Regístrese para recibir notificaciones

Notifíquenme

Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Únase Gratis