資安界正高度關注一個影響Linux核心的高風險漏洞,因為美國網路安全與基礎設施安全局(CISA)已證實,該漏洞(CVE-2024-1086)目前正被惡意的勒索軟體集團用於實際攻擊中。這項發展將一個嚴重的技術缺陷,轉變為企業和組織必須立即應對的現實威脅。
美國網路安全與基礎設施安全局 (CISA) 週四證實,Linux 核心中一個高風險權限提升漏洞目前正被用於勒索軟體攻擊。雖然該漏洞(追蹤編號為CVE-2024-1086)於 2024 年 1 月 31 日被披露為 netfilter: nf_tables核心組件中的釋放後使用弱點,並透過2024 年 1 月提交的提交進行了修復,但它最初是由十年前的2014年 2 月的提交引入的。 這個長達十年的潛伏期,突顯了核心軟體中潛藏的風險對現代資訊安全的長期影響。
此漏洞被歸類為「釋放後使用」(Use-After-Free, UAF)的類型,存在於netfilter: nf_tables這個核心元件中。Netfilter是一個負責網路封包過濾和轉換的框架,而nf_tables是其新的封包過濾和分類系統。成功利用這個漏洞,攻擊者可以取得對目標系統的本地存取權限,並將其權限提升至Root等級。一旦獲得Root權限,攻擊者就能完全控制被入侵的設備,這包括禁用防禦機制、修改或植入惡意檔案,並安裝勒索軟體或惡意程式進行橫向移動與數據竊取。
這個漏洞影響許多主流 Linux 發行版,包括但不限於 Debian、Ubuntu、Fedora 和 Red Hat,這些發行版使用的核心版本從 3.15 到 6.8-rc1。 由於其廣泛的影響範圍,CISA將此安全漏洞的風險層級大幅提高。一名資安研究人員(代號「Notselwyn」)已於2024年3月詳細發布了概念驗證(PoC)的漏洞利用程式碼,展示如何在Linux核心版本5.14到6.6之間實現本地權限提升。概念驗證程式碼的公開,極大地降低了攻擊門檻,使得勒索軟體集團能夠迅速將其納入攻擊武器庫中。
CISA 於 2024 年 5 月將此安全漏洞添加到其已知利用漏洞 (KEV) 目錄中,並命令聯邦機構在 2024 年 6 月 20 日之前保護其係統。CISA 表示:「這類漏洞是惡意網路攻擊者常用的攻擊途徑,對聯邦政府構成重大風險。請按照供應商的說明採取緩解措施,如果無法採取緩解措施,則應停止使用該產品。」
對於全球的IT管理員和資安專業人士而言,面對此項威脅,當務之急是立即採取行動,以防止本地攻擊者利用此漏洞進行權限提升並部署勒索軟體。CISA和供應商建議的緩解措施主要包括:
立即修補: 這是最根本的解決方案,應將Linux核心更新至包含修補程式的版本。
停用或限制 nf_tables: 如果系統不需要或未主動使用 nf_tables,應將其加入黑名單(Blocklist),防止其被加載。
限制使用者命名空間存取: 限制對使用者命名空間的存取,可以有效縮小攻擊面。
使用 LKRG: 載入 Linux Kernel Runtime Guard (LKRG) 模組,作為額外的防禦層,儘管此舉可能在極少數情況下導致系統不穩定。
此次事件再次強調,即使是伺服器環境中被視為最安全的Linux系統,也必須保持最高級別的警惕,並實行嚴格的修補管理政策,以應對不斷演變的網路犯罪威脅。
資料來源:https://www.bleepingcomputer.com/news/security/cisa-linux-privilege-escalation-flaw-now-exploited-in-ransomware-attacks/