SOC Prime Bias: Critique

17 Nov 2025 22:45
newspaper icon cve.org

CVE-2024-1086 : Faille critique d’escalade de privilèges dans le noyau Linux

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
CVE-2024-1086 : Faille critique d’escalade de privilèges dans le noyau Linux
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Analyse

CVE-2024-1086 est une vulnérabilité critique d’escalade de privilèges locaux dans le composant netfilter (nf_tables) du noyau Linux qui permet à un attaquant local de gagner des privilèges root sur les systèmes affectés. Il s’agit d’un bug use-after-free/double-free introduit autour de 2014, qui a un score de gravité élevé et a été observé dans des exploitations réelles.

Investigation

Le défaut provient de la logique nft_verdict_init() au sein des nf_tables : un verdict d’erreur de drop spécialement conçu combiné avec des hooks via nf_hook_slow() peut entraîner un double-free des structures de paquets, menant à une corruption de la mémoire du noyau et à une escalade de privilèges. Un code d’exploit de preuve de concept a été publié montrant une exploitation réussie à travers de nombreuses versions du noyau (notamment 5.14 à 6.6 et au-delà), surtout lorsque les espaces de noms utilisateur non privilégiés sont activés, et la vulnérabilité a été exploitée dans des campagnes de ransomware.

Atténuation

Les administrateurs devraient mettre à jour les noyaux Linux affectés vers des versions corrigées qui résolvent la condition de double-free. Les mitigations temporaires incluent la désactivation des espaces de noms utilisateur non privilégiés (sysctl -w kernel.unprivileged_userns_clone=0) et la rendre persistante via /etc/sysctl.d/. Des mesures supplémentaires incluent la restriction de l’accès local, la limitation de qui peut créer des espaces de noms, et la surveillance des shells root anormaux ou d’autres signes de compromission du noyau.

Réponse

Traitez l’exploitation suspectée comme une compromission de système hôte prioritaire : isolez les systèmes affectés, effectuez une analyse médico-légale complète des journaux du noyau et de la persistance, changez les identifiants, et recherchez un mouvement latéral. Accélérez la mise à jour des hôtes vulnérables ou envisagez de retirer les systèmes qui ne peuvent pas être mis à jour. Mettez à jour les règles de détection et de chasse pour couvrir les indicateurs de corruption de mémoire nf_tables et les tentatives d’exploitation associées.

Flux d’Attaque

Nous mettons encore à jour cette partie. Inscrivez-vous pour être notifié

Notify Me

Règles de Détection

Nous mettons encore à jour cette partie. Inscrivez-vous pour être notifié

Notify Me

Instructions de Charge Utile

Nous mettons encore à jour cette partie. Inscrivez-vous pour être notifié

Notify Me

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.

Inscrivez-vous gratuitement