SOC Prime Bias: Critico

17 Nov 2025 22:45
newspaper icon cve.org

CVE-2024-1086: Grave difetto di escalation dei privilegi nel kernel Linux

Author Photo
Ruslan Mikhalov Capo della Ricerca sulle Minacce presso SOC Prime linkedin icon Segui
CVE-2024-1086: Grave difetto di escalation dei privilegi nel kernel Linux
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Analisi

CVE-2024-1086 è una vulnerabilità critica di escalation dei privilegi locali nel componente netfilter (nf_tables) del kernel Linux che consente a un attaccante locale di ottenere privilegi di root sui sistemi colpiti. Si tratta di un bug di use-after-free/double-free che è stato introdotto intorno al 2014, ha un alto punteggio di gravità ed è stato osservato in casi di sfruttamento reale.

Indagine

Il difetto origina nella logica nft_verdict_init() all’interno di nf_tables: un verdetto di errore craftato combinato con hook tramite nf_hook_slow() può innescare un double-free delle strutture dei pacchetti, portando a corruzione della memoria del kernel ed escalation dei privilegi. È stato pubblicato un codice di exploit proof-of-concept che mostra l’avvenuto sfruttamento con successo su molte versioni del kernel (notabilmente dalla 5.14 alla 6.6 e oltre), specialmente dove sono abilitati i namespace utente non privilegiati, e la vulnerabilità è stata sfruttata in campagne di ransomware.

Mitigazione

Gli amministratori dovrebbero aggiornare i kernel Linux interessati a versioni patchate che risolvano la condizione di double-free. Le mitigazioni temporanee includono la disabilitazione dei namespace utente non privilegiati (sysctl -w kernel.unprivileged_userns_clone=0) e rendere questa modifica persistente tramite /etc/sysctl.d/. Misure aggiuntive includono la restrizione dell’accesso locale, la limitazione di chi può creare namespace e il monitoraggio di shell root anomale o altri segni di compromissione del kernel.

Risposta

Tratta l’eventuale sfruttamento come un compromesso ad alta priorità dell’host: isola i sistemi colpiti, esegui un’analisi forense completa dei log del kernel e della persistenza, ruota le credenziali e cerca movimenti laterali. Accelera la patching degli host vulnerabili o considera di ritirare i sistemi che non possono essere aggiornati. Aggiorna le regole di rilevamento e caccia per coprire gli indicatori di corruzione della memoria nf_tables e tentativi di sfruttamento correlati.

Flusso di Attacco

Stiamo ancora aggiornando questa parte. Iscriviti per essere avvisato

Avvisami

Regole di Rilevamento

Stiamo ancora aggiornando questa parte. Iscriviti per essere avvisato

Avvisami

Istruzioni per il Payload

Stiamo ancora aggiornando questa parte. Iscriviti per essere avvisato

Avvisami

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis