سوءاستفاده از آسیب‌پذیری کرنل Linux در جریان حملات باج‌افزاری

آژانس امنیت سایبری آمریکا (CISA) روز پنج‌شنبه تأیید کرد که یک آسیب‌پذیری امنیتی با شدت بالا در هسته Linux، هم‌اکنون در حملات باج‌افزاری مورد سوءاستفاده قرار می‌گیرد.

این آسیب‌پذیری که با شناسه CVE-2024-1086 شناخته می‌شود، در 12 بهمن سال گذشته به‌عنوان یک ضعف از نوع use-after-free در مؤلفه netfilter: nf_tables از کرنل Linux افشا شد و در همان دوران با یک commit رفع گردید. با این توضیح که منبع اصلی این نقص به یک commit حدود ده سال قبل از آن باز می‌گردد.

بهره‌برداری موفق از این آسیب‌پذیری به مهاجم دارای دسترسی محلی اجازه می‌دهد تا سطح دسترسی خود را در سیستم قربانی ارتقا دهد و در نهایت به سطح root برسد، که این امر می‌تواند کنترل کامل دستگاه را در اختیار مهاجم قرار دهد.

در اختیار گرفتن کنترل کامل سیستم پس از دستیابی به سطح root به مهاجم امکان می‌دهد تا سازوکارهای دفاعی روی سیستم را غیرفعال کند، فایل‌ها را تغییر دهد یا اقدام به نصب بدافزار یا سرقت داده‌ها کند.

در اوایل امسال، پژوهشگری با نام مستعار Notselwyn، گزارشی دقیق و کد اثبات مفهومی (PoC) از نحوه بهره‌برداری از CVE-2024-1086 را در GitHub منتشر کرد.

این آسیب‌پذیری، بسیاری از توزیع‌های اصلی Linux را تحت تأثیر قرار می‌دهد.

بر اساس اطلاعیه آژانس CISA، این نقص در کارزارهای باج‌افزاری در حال بهره‌برداری است.

اطلاعات بیشتر در لینک زیر قابل‌مطالعه است:

https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-1086