Une faille dans le noyau Linux exploitée dans des attaques par ransomware, alerte la CISA
La CISA confirme qu’une faille de sécurité importante affectant le noyau Linux est désormais activement exploitée dans le cadre d’attaques par ransomware. Cette vulnérabilité affectée à la référence CVE-2024-1086 affecte des distributions populaires. Voici ce que l'on sait.
Une faille vieille de dix ans
La faille de sécurité CVE-2024-1086 se niche dans le composant Netfilter: nf_tables du noyau Linux. Elle a été corrigée en janvier 2024 après sa divulgation publique, mais son exploitation dans la nature n’a été constatée que récemment. Pourtant, cette vulnérabilité n'était pas nouvelle puisqu'elle a été introduite par un changement dans le code effectué en février 2014. Le correctif est donc arrivé 10 ans plus tard.
CVE-2024-1086 est une vulnérabilité de type "use-after-free", permettant à un utilisateur local malveillant d’élever ses privilèges sur un système vulnérable. Un attaquant peut obtenir un accès root sur les machines compromises. La CVE-2024-1086 affecte de nombreuses distributions populaires, dont Debian, Ubuntu, Fedora et Red Hat.
De plus, et c'est un élément notable, en mars 2024, un chercheur surnommé Notselwyn a publié sur GitHub un code d’exploitation (PoC), démontrant la faisabilité de l’attaque sur les versions du noyau Linux 5.14 à 6.6.
Comme l’explique Immersive Labs dans son rapport, les conséquences peuvent être désastreuses :
- Prise de contrôle totale du système, incluant la désactivation de services et la modification de fichiers sensibles,
- Déploiement de logiciels malveillants (y compris des ransomwares),
- Mouvement latéral au sein du réseau.
Ce même rapport donne également des précisions sur les versions de systèmes impactées. Tout en sachant que de nombreuses distributions sont impactées puisque c'est directement lié au noyau Linux.
La CISA tire la sonnette d’alarme
L'agence américaine CISA a ajouté la vulnérabilité à son catalogue des failles activement exploitées (KEV), imposant aux agences fédérales américaines de corriger leurs systèmes avant... le 20 juin 2024. En effet, cette vulnérabilité a été introduite dans le KEV dès mai 2024.
Mais, désormais, il y a une nouveauté : la CISA a confirmé que la CVE-2024-1086 était exploitée dans des attaques par ransomware. Le nom du ou des groupes associés à ces attaques n'est pas spécifié, mais cela montre que la vulnérabilité est exploitée depuis plus d'un an.
"Appliquez les mesures recommandées par les éditeurs ou cessez d’utiliser le produit si aucune solution n’est disponible.", précise la CISA.
Récemment, une autre alerte a été lancée par la CISA, au sujet de l'exploitation d'une vulnérabilité SMB sur Windows.
