A CISA confirmou nesta quinta-feira que uma falha grave de escalonamento de privilégios no kernel do Linux está sendo explorada em ataques de ransomware: a vulnerabilidade, identificada como CVE-2024-1086, foi divulgada em 31 de janeiro de 2024 e se trata de uma falha de tipo use-after-free no componente do kernel conhecido como netfilter: nf_tables.
A exploração bem-sucedida dessa falha permite que invasores com acesso local aumentem seus privilégios no sistema alvo, alcançando potencialmente acesso de nível root — o mais alto nível de controle em um sistema Linux.
Segundo a Immersive Labs, as consequências incluem a tomada completa do sistema (permitindo a desativação de defesas, alteração de arquivos e instalação de malwares), movimentação lateral pela rede e roubo de dados.
No final de março de 2024, um pesquisador de segurança conhecido pelo pseudônimo “Notselwyn” publicou no GitHub um artigo detalhado e um código de prova de conceito (PoC) para explorar o CVE-2024-1086, demonstrando como obter escalonamento local de privilégios em versões do kernel Linux entre 5.14 e 6.6.
Essa vulnerabilidade afeta diversas distribuições amplamente utilizadas, como Debian, Ubuntu, Fedora e Red Hat, que utilizam versões do kernel entre 3.15 e 6.8-rc1.
Em uma atualização recente do seu catálogo de vulnerabilidades exploradas ativamente, a agência de cibersegurança dos Estados Unidos (CISA) confirmou que essa falha está sendo usada em campanhas de ransomware, embora não tenha fornecido detalhes sobre os ataques em andamento.
A CISA já havia incluído o CVE-2024-1086 em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) em maio de 2024, determinando que todas as agências federais corrigissem seus sistemas até 20 de junho de 2024.
Quando a atualização não for possível, administradores de TI são orientados a aplicar uma das seguintes medidas de mitigação: bloquear o módulo nf_tables caso ele não seja necessário, restringir o acesso a user namespaces para reduzir a superfície de ataque e, por fim, carregar o módulo Linux Kernel Runtime Guard (LKRG), embora essa opção possa causar instabilidade no sistema.
Esses tipos de vulnerabilidades são vetores de ataque frequentes para agentes cibernéticos maliciosos e representam riscos significativos para o setor público e privado”, alertou a CISA. “Aplique as mitigações conforme as instruções do fornecedor ou descontinue o uso do produto se as correções não estiverem disponíveis.”
A falha CVE-2024-1086 serve como mais um lembrete da importância de manter sistemas e kernels atualizados. Mesmo uma linha de código antiga, esquecida por uma década, pode se transformar em uma porta de entrada crítica para ataques devastadores no presente.
O que á a CISA?
A CISA, sigla para Cybersecurity and Infrastructure Security Agency, é a Agência de Segurança de Cibersegurança e Infraestrutura dos Estados Unidos. Criada em 2018 e vinculada ao Departamento de Segurança Interna (DHS), sua principal função é proteger redes federais, infraestruturas críticas e organizações públicas e privadas contra ameaças cibernéticas.
A agência atua monitorando e respondendo a ataques, emitindo alertas e recomendações de segurança, como o catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), além de coordenar ações entre governo, empresas e pesquisadores.
Seu objetivo é fortalecer a resiliência digital do país, ajudando instituições a prevenir, detectar e reagir a incidentes cibernéticos. No caso mencionado, a CISA foi a responsável por identificar e confirmar que a falha no kernel do Linux, registrada como CVE-2024-1086, estava sendo explorada por gangues de ransomware, incluindo-a oficialmente em seu catálogo de ameaças ativas.
A agência não tem uma relação direta com o desenvolvimento do Linux, mas desempenha um papel importante na segurança e monitoramento de vulnerabilidades que afetam esse sistema operacional — assim como faz com outros softwares amplamente utilizados, públicos ou privados.
O Linux é um sistema de código aberto mantido por uma comunidade global de desenvolvedores independentes e empresas, enquanto a CISA é uma agência governamental dos Estados Unidos voltada para a proteção cibernética de infraestruturas críticas.
A relação entre eles ocorre principalmente quando o Linux (ou algum componente dele) apresenta falhas de segurança que podem ser exploradas em ataques, especialmente quando afetam sistemas usados por agências federais, empresas estratégicas ou provedores de serviços essenciais.
Nesses casos, ela monitora, analisa e divulga alertas oficiais, orientando administradores e organizações sobre os riscos e as medidas de mitigação necessárias — como ocorreu com a vulnerabilidade CVE-2024-1086.