CVE-2024-1086 Vulnerabilità: Grave Flaw di Escalation dei Privilegi nel Kernel Linux Sfruttato negli Attacchi Ransomware
Subito dopo i rapporti di CVE-2025-59287, un grave difetto RCE nei sistemi WSUS, sfruttato in natura, un altro grave difetto nel kernel Linux è stato osservato essere attivamente sfruttato in attacchi di ransomware. CISA ha confermato il suo sfruttamento e ha avvertito che abusare di CVE-2024-1086 nelle campagne offensive permette agli attaccanti con accesso locale di ottenere privilegi di root sui sistemi interessati.
Per il terzo anno consecutivo, le vulnerabilità sfruttate rimangono la causa tecnica principale più comune degli attacchi ransomware, coinvolte nel 32% degli incidenti, secondo il rapporto The State of Ransomware 2025 di Sophos. I gruppi di ransomware stanno sfruttando sempre di più i difetti del software come punto di ingresso primario nei sistemi aziendali, mentre l’ingegneria sociale e le credenziali rubate continuano a svolgere un ruolo importante negli attacchi. Con oltre 40.000 nuove vulnerabilitàby registrate da NIST quest’anno, le organizzazioni affrontano una sfida crescente, poiché identificare e correggere proattivamente questi difetti è essenziale per ridurre la superficie di attacco e difendersi dalle minacce ransomware sempre più sofisticate.
Iscriviti alla piattaforma SOC Prime per accedere al feed delle minacce attive globali, che offre informazioni aggiornate sulle minacce informatiche e algoritmi di rilevamento curati per affrontare le minacce emergenti. Tutte le regole sono compatibili con più formati SIEM, EDR e Data Lake e mappate al framework MITRE ATT&CK® . Inoltre, ogni regola è arricchita con CTI link, cronologie degli attacchi, configurazioni di audit, raccomandazioni per il triage e altro contesto rilevante. Premi il pulsante Esplora Rilevamenti per vedere l’intero stack di rilevamento per una difesa proattiva contro le vulnerabilità critiche filtrate dal tag “CVE”.
Inoltre, i difensori informatici potrebbero rinforzare le loro difese con uno stack di rilevamento curato che affronta gli attacchi ransomware. Basta cercare il contenuto di rilevamento rilevante nel Threat Detection Marketplace utilizzando il tag “Ransomware”.
Gli ingegneri della sicurezza possono anche sfruttare Uncoder AI, un IDE e co-pilota per l’ingegneria del rilevamento. Con Uncoder, i difensori possono convertire istantaneamente gli IOC in query di caccia personalizzate, creare codice di rilevamento dai rapporti di minaccia grezzi, generare diagrammi di flusso d’attacco, abilitare la previsione dei tag ATT&CK, sfruttare l’ottimizzazione delle query guidata dall’IA e tradurre il contenuto di rilevamento su più piattaforme.
Analisi CVE-2024-1086
CISA ha recentemente rilasciato un avviso urgente su un grave difetto nel kernel Linux, identificato come CVE-2024-1086. Questo grave bug use-after-free (con un punteggio CVSS di 7,8), nascosto all’interno del componente netfilter: nf_tables , consente agli avversari con accesso locale di ottenere privilegi di root sui sistemi interessati e potenzialmente implementare ransomware, il che potrebbe gravemente interrompere i sistemi aziendali in tutto il mondo o causare l’esecuzione arbitraria di codice.
Il difetto è stato divulgato e corretto nel gennaio 2024, anche se ha avuto origine dal codice introdotto nel 2014. È stato aggiunto al catalogo delle vulnerabilità sfruttate conosciute (KEV) di CISA il 30 maggio 2024 e a fine ottobre 2025, CISA ha emesso una notifica confermando che la vulnerabilità è nota per essere attivamente utilizzata in campagne ransomware. Notoriamente, l’exploit proof-of-concept (PoC) per il difetto è disponibile da marzo 2024, quando un ricercatore con l’alias “Notselwyn” ha pubblicato un CVE-2024-1086 PoC su GitHub, dimostrando l’escalation dei privilegi locali su kernel Linux dalla versione 5.14 alla 6.6.
Sfruttando questa vulnerabilità, gli attaccanti possono bypassare i controlli di sicurezza, ottenere accesso amministrativo e muoversi lateralmente attraverso le reti. Una volta ottenuti i privilegi di root, gli operatori di ransomware possono disabilitare le protezioni degli endpoint, criptare i file critici, esfiltrare dati sensibili e stabilire accessi persistenti.
Il sottosistema netfilter, responsabile del filtraggio dei pacchetti e della traduzione degli indirizzi di rete, rende questa vulnerabilità particolarmente preziosa per gli attaccanti che cercano di manipolare il traffico di rete o indebolire i meccanismi di sicurezza. Tipicamente, CVE-2024-1086 viene sfruttato dopo che gli avversari hanno ottenuto un’iniziale punto d’appoggio attraverso phishing, credenziali rubate o vulnerabilità esposte su internet, trasformando l’accesso utente limitato in pieno controllo amministrativo.
La classificazione di CISA di CVE-2024-1086 come una vulnerabilità “nota per essere usata in campagne ransomware” sottolinea la sua gravità e l’urgente bisogno per le organizzazioni di verificare il dispiegamento delle patch e implementare controlli mitiganti su tutti gli ambienti Linux.
Come misura di mitigazione potenziale per CVE-2024-1086, il fornitore consiglia di disabilitare la creazione di namespace per gli utenti non privilegiati. Per disattivarlo temporaneamente, si consiglia di eseguire sudo sysctl -w kernel.unprivileged_userns_clone=0 , mentre eseguire echo kernel.unprivileged_userns_clone=0 | sudo tee /etc/sysctl.d/99-disable-unpriv-userns.conf serve come un cambiamento persistente dopo il riavvio.
Migliorare le strategie di difesa cibernetica proattiva è fondamentale per le organizzazioni che vogliono ridurre in modo efficace e tempestivo i rischi legati allo sfruttamento delle vulnerabilità. Sfruttando la suite completa di prodotti SOC Prime per la protezione della sicurezza aziendale, supportata da un’elevata competenza in materia di cybersecurity e dall’intelligenza artificiale, le organizzazioni di tutto il mondo possono preparare le proprie difese cibernetiche al futuro e rafforzare la propria postura di sicurezza informatica.
