美國網路安全與基礎設施安全局(CISA)在其已知可利用漏洞 (KEV) 目錄中添加了兩個漏洞,其中包括 Linux 核心特權提升漏洞。
該漏洞編號為CVE-2024-1086(CVSS評分:7.8),屬於高危險漏洞,涉及netfilter: nf_tables組件中的一個使用後釋放(use-after-free)漏洞,允許本地端攻擊者從一般使用者提升至root權限,甚至可能執行任意程式。
Netfilter 是 Linux 核心所提供的一個框架,允許各種與網路相關的操作,例如封包過濾、網路位址轉換 (NAT) 和封包修飾等。此漏洞的原因是「nft_verdict_init()」函數允許在Hook判斷中使用正值作為刪除錯誤,導致「nf_hook_slow()」函數在發出 NF_DROP 時執行雙重釋放,並出現類似往下的刪除錯誤使NF_接受。
利用 CVE-2024-1086,具有本機存取權限的攻擊者可以在目標系統上實現權限升級,從而可能獲得根級存取權限。CISA表示:「Linux Kernel包含一個在netfilter: nf_tables組件中的使用後釋放漏洞,允許攻擊者實現本地權限提升」。
該修復已移植到下列多個穩定的核心版本,如下所列:
2024 年3月下旬,一位化名「Notselwyn」的安全研究人員在GitHub 上發布了詳細的文章和概念驗證(PoC) 漏洞,展示如何利用5.14之間的Linux 核心版本上的漏洞來實現本地端權限升級。CISA 並未透露有關如何利用該漏洞的具體細節,但 BleepingComputer 在駭客論壇上看到了有關公開漏洞利用的貼文。
如果無法更新到最佳版本,建議系統管理員使用緩解措施為:如果用戶不需要/主動使用,則可將「nf_tables」列入黑名單中。並限制對使用者命名空間的存取以限制攻擊面。載入 Linux Kernel Runtime Guard (LKRG) 模組(可能導致不穩定)
CISA 這次在 KEV目錄中加入的第二個漏洞是 CVE-2024-24919,它是一個影響Check Point VPN設備的資訊外洩漏洞,同樣將截止日期定為6月20日。這個漏洞已於2024年1月已修復。然而,目前尚不清楚利用該漏洞的攻擊具體性質。同時,CISA還將一個最新披露的影響Check Point網路閘道安全產品的安全漏洞(CVE-2024-24919,CVSS評分:7.5)加入KEV目錄。該漏洞允許攻擊者在具有遠端存取VPN或行動存取功能的網際網路閘道器上讀取敏感資訊。
鑑於CVE-2024-1086和CVE-2024-24919的積極利用,CISA已建議相關機構在2024年6月20日之前更新最新修補程式,以保護其網路免受潛在威脅。