DevOps VietNam

CISA cảnh báo khẩn: Lỗ hổng Linux kernel CVE-2024-1086 đang bị khai thác trong các chiến dịch ransomware

Cơ quan An ninh mạng và An ninh Cơ sở hạ tầng Hoa Kỳ (CISA) vừa đưa lỗ hổng nghiêm trọng trong Linux kernel CVE-2024-1086 vào danh mục KEV. Cảnh báo này được đưa ra sau khi có bằng chứng rõ ràng cho thấy tin tặc đang tích cực lạm dụng lỗ hổng này trong các chiến dịch ransomware nhắm vào nhiều tổ chức trên toàn thế giới.

Lỗ hổng được đề cập là CVE-2024-1086, một lỗi use-after-free (CWE-416) nghiêm trọng nằm trong thành phần netfilter: nf_tables của Linux kernel. Lỗi “use-after-free” xảy ra khi một chương trình tiếp tục sử dụng một con trỏ bộ nhớ sau khi vùng nhớ đó đã được giải phóng, cho phép kẻ tấn công thao túng việc cấp phát bộ nhớ và có khả năng thực thi mã tùy ý với đặc quyền cao.

Mối đe dọa chính từ CVE-2024-1086 là khả năng local privilege escalation. Kẻ tấn công, sau khi có được quyền truy cập ban đầu với tư cách người dùng thông thường, có thể khai thác lỗ hổng này để giành toàn quyền root trên hệ thống Linux bị ảnh hưởng.

Việc CISA chỉ định CVE-2024-1086 đã được sử dụng trong các chiến dịch ransomware nhấn mạnh mức độ nghiêm trọng của mối đe dọa. Các nhóm tội phạm mạng đã tích hợp việc khai thác lỗ hổng này vào attack chain của chúng.

Kịch bản tấn công tiêu biểu diễn ra như sau: tin tặc giành quyền truy cập ban đầu thường qua phishing, đánh cắp thông tin đăng nhập, hoặc khai thác một dịch vụ khác với đặc quyền thấp. Sau đó, chúng sử dụng CVE-2024-1086 để lên quyền root. Khi đã có quyền cao nhất, kẻ tấn công có thể vô hiệu hóa các phần mềm endpoint protection, mã hóa các tệp tin quan trọng trên toàn hệ thống và đưa ra yêu cầu đòi tiền chuộc.

CISA đã ban hành chỉ thị rõ ràng, yêu cầu các tổ chức áp dụng các biện pháp giảm thiểu theo hướng dẫn của nhà cung cấp hoặc ngừng sử dụng sản phẩm nếu không có biện pháp giảm thiểu. Điều này đồng nghĩa với việc các quản trị viên phải ưu tiên patch các hệ thống Linux ngay lập tức. Lỗ hổng này ảnh hưởng đến nhiều bản phân phối phổ biến như Red Hat Enterprise Linux, Ubuntu, Debian, SUSE và các biến thể khác.

Việc một lỗ hổng được đưa vào danh mục KEV (theo Chỉ thị Hoạt động Bắt buộc 22-01) buộc các cơ quan liên bang Hoa Kỳ phải vá trong thời hạn nhất định. Tuy nhiên, CISA và các chuyên gia bảo mật khuyến cáo tất cả các tổ chức, bất kể quy mô hay lĩnh vực, cần coi các lỗ hổng KEV là ưu tiên cao nhất do chúng đã bị khai thác trong thực tế.