CVE-2024-1086: Критична вразливість підвищення привілеїв у ядрі Linux

Аналіз

CVE-2024-1086 – це критична уразливість локального підвищення привілеїв у компоненті netfilter (nf_tables) ядра Linux, що дозволяє локальному зловмиснику отримати привілеї root на уражених системах. Це помилка використання після звільнення/подвійного звільнення, яка була введена приблизно в 2014 році, має високий рівень серйозності і була помічена у реальному світі під час експлуатації.

Розслідування

Помилка походить з логіки nft_verdict_init() у nf_tables: спеціально створений verdict drop-error, комбінований з гачками через nf_hook_slow(), може викликати подвійне звільнення структур пакетів, що призводить до пошкодження пам’яті ядра і підвищення привілеїв. Був опублікований код експлойту доказової концепції, який демонструє успішну експлуатацію на багатьох версіях ядра (зокрема 5.14 по 6.6 і більше), особливо там, де увімкнені непровілейовані користувацькі простори імен, і ця вразливість була використана в кампаніях з програм-викупів.

Послаблення

Адміністраторам слід оновити уражені ядра Linux до виправлених версій, які закривають умову подвійного звільнення. Тимчасові заходи включають відключення непровілейованих користувацьких просторів імен (sysctl -w kernel.unprivileged_userns_clone=0) і зробити цю зміну постійною через /etc/sysctl.d/. Додаткові заходи включають обмеження локального доступу, обмеження тих, хто може створювати простори імен, і моніторинг аномальних root-оболонок або інших ознак компрометації ядра.

Відповідь

Вважайте підозрілу експлуатацію як компрометацію хоста високого пріоритету: ізолюйте уражені системи, проведіть повний судовий аналіз журналів ядра і стійкості, змініть облікові дані і проводьте аналіз на предмет бічного переміщення. Прискорте виправлення уразливих хостів або розгляньте питання про виведення з експлуатації систем, які не можна оновити. Оновіть правила виявлення та пошукові процедури, щоб охопити індикатори пошкодження пам’яті nf_tables і пов’язані спроби експлуатації.