CVE-2024-1086: Falla Crítica de Escalada de Privilegios en el Núcleo de Linux

Análisis

CVE-2024-1086 es una vulnerabilidad crítica de escalada de privilegios locales en el componente netfilter (nf_tables) del núcleo de Linux que permite a un atacante local obtener privilegios de root en los sistemas afectados. Es un error de uso después de liberación/liberación doble que se introdujo alrededor de 2014, tiene una alta puntuación de severidad y ha sido observado en explotación real.

Investigación

La falla se origina en la lógica nft_verdict_init() dentro de nf_tables: un veredicto de error de caída diseñado combinado con enlaces a través de nf_hook_slow() puede desencadenar una liberación doble de estructuras de paquetes, lo que lleva a la corrupción de memoria del núcleo y la escalada de privilegios. Se publicó un código de prueba de concepto que muestra una explotación exitosa en muchas versiones del núcleo (notablemente desde la 5.14 hasta la 6.6 y posteriores), especialmente donde los espacios de nombres de usuario no privilegiados están habilitados, y la vulnerabilidad ha sido aprovechada en campañas de ransomware.

Mitigación

Los administradores deben actualizar los núcleos de Linux afectados a versiones parcheadas que cierren la condición de liberación doble. Las mitigaciones temporales incluyen deshabilitar los espacios de nombres de usuario no privilegiados (sysctl -w kernel.unprivileged_userns_clone=0) y hacer que ese cambio sea persistente a través de /etc/sysctl.d/. Medidas adicionales incluyen restringir el acceso local, limitar quién puede crear espacios de nombres y monitorear para detectar shells raíz anómalos u otros signos de compromiso del núcleo.

Respuesta

Tratar la explotación sospechosa como un compromiso de host de alta prioridad: aislar los sistemas afectados, realizar un análisis forense completo de los registros del núcleo y la persistencia, rotar credenciales y buscar movimientos laterales. Acelerar el parcheo de hosts vulnerables o considerar retirar sistemas que no puedan ser actualizados. Actualizar las reglas de detección y búsqueda para cubrir indicadores de corrupción de memoria de nf_tables e intentos de explotación relacionados.