Linux kernel CVE-2024-1086: bug use-after-free in nf_tables sfruttato in attacchi ransomware – PoC pubblico, patch obbligatoria
La vulnerabilità CVE-2024-1086 interessa il componente nf_tables (packet filtering) del Linux kernel, presente nelle principali distribuzioni enterprise come Ubuntu, Debian, CentOS, Red Hat ed è attivamente sfruttata per l’elevazione dei privilegi locali e la diffusione di ransomware su larga scala.
Il bug deriva da un errore di gestione della memoria (use-after-free), attivabile tramite catena di regole nf_tables crafted, che porta a una doppia liberazione e consente l’esecuzione arbitraria in kernel space.
Il PoC, pubblicato a marzo 2024, è altamente affidabile su kernel v5.14–v6.6 (quasi tutte le stabili del periodo). Funziona su installazioni in cui:
- user namespaces sono abilitati (CONFIG_USER_NS=y, tipico su Ubuntu, Debian)
- nf_tables abilitato nel kernel
L’attaccante deve disporre di accesso locale (shell[/]interfaccia), anche tramite exploit subordinati o malware.
Lo scenario tipico prevede:
- Privilege escalation locale da utente a root
- Installazione di ransomware o altri payload persistenti
- Possibile instabilità di sistema (crash post-esecuzione, evidenti in log di sistema)
Impatto e diffusione:
- Inclusa da CISA e altri CERT nei cataloghi KEV delle vulnerabilità sfruttate
- Confermati attacchi ransomware su infrastrutture enterprise e cloud dal secondo semestre 2024
- Si segnalano PoC pubblici e fork adattati anche per kernel “custom” o distribuzioni cloud
Mitigazioni:
- Applicare DOVE POSSIBILE i kernel >= 5.15.149, 6.1.76, 6.6.15, 6.7.3 o successivi (vedi note NSFOCUS)
- Disabilitare temporaneamente user namespaces non necessari tramite sysctl kernel.unprivileged_userns_clone=0
- Limitare l’accesso locale agli host e monitorare escalation anomale in logs ([/]var[/]log[/]auth.log, OOM, kernel messages)
- Eseguire scansioni per presence di artefatti ransomware o rootkit post-escalation
Nota tecnica:
Il PoC può causare crash instabili su sistemi “live”, ma consente quasi sempre una root shell funzionante prima dello shutdown.
Attività di sfruttamento sono segnalate ovunque il patch management non sia tempestivo. La presenza del bug su sistemi cloud e CI/CD lo rende rilevante anche per ambienti DevvOps.