Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã bổ sung một **lỗ hổng CVE** kernel Linux nghiêm trọng, được theo dõi là CVE-2024-1086, vào danh mục Các Lỗ hổng Đã Bị Khai thác (KEV) của mình. CISA cảnh báo rằng các tác nhân đe dọa đang tích cực lợi dụng lỗ hổng bảo mật này trong các chiến dịch ransomware nhắm mục tiêu vào các tổ chức trên toàn thế giới.

CVE-2024-1086 đại diện cho một mối đe dọa đáng kể đối với các hệ thống dựa trên Linux và đòi hỏi sự chú ý ngay lập tức từ các nhóm an ninh mạng.

Phân Tích Kỹ Thuật và **Khai Thác Lỗ Hổng Nghiêm Trọng** CVE-2024-1086

Bản chất lỗ hổng: Use-After-Free trong Netfilter

CVE-2024-1086 là một lỗ hổng loại use-after-free (UAF) ảnh hưởng đến thành phần netfilter: nf_tables bên trong kernel Linux.

Điểm yếu bảo mật này xảy ra khi một chương trình tiếp tục sử dụng một con trỏ bộ nhớ sau khi bộ nhớ liên quan đã được giải phóng.

Điều này cho phép kẻ tấn công thao túng việc cấp phát bộ nhớ và có khả năng thực thi mã tùy ý với các đặc quyền nâng cao.

Lỗ hổng này được phân loại theo CWE-416, một phân loại điểm yếu phổ biến liên quan đến các điều kiện use-after-free.

Cơ chế Khai thác và Tác động

Lỗ hổng CVE-2024-1086 cho phép các tác nhân đe dọa đạt được leo thang đặc quyền cục bộ (Local Privilege Escalation – LPE).

Điều này cấp cho họ quyền truy cập quản trị trái phép vào các hệ thống bị xâm nhập.

Các lỗ hổng UAF đặc biệt nguy hiểm vì chúng có thể bị khai thác để vượt qua các biện pháp kiểm soát bảo mật và leo thang đặc quyền từ tài khoản người dùng tiêu chuẩn lên cấp độ root hoặc quản trị viên.

Một khi kẻ tấn công có được các đặc quyền nâng cao, chúng có thể triển khai các payload ransomware, đánh cắp dữ liệu nhạy cảm, thiết lập quyền truy cập bền vững hoặc thực hiện các hoạt động độc hại khác trên cơ sở hạ tầng bị xâm nhập.

Các nhà vận hành ransomware thường khai thác CVE-2024-1086 sau khi thiết lập được chỗ đứng ban đầu thông qua lừa đảo (phishing), đánh cắp thông tin đăng nhập, hoặc khai thác các lỗ hổng hướng ra internet.

Sau khi xâm nhập mạng với các đặc quyền người dùng hạn chế, kẻ tấn công sử dụng lỗ hổng kernel này để giành quyền root.

Quyền root cho phép chúng vô hiệu hóa phần mềm bảo vệ điểm cuối, mã hóa các tệp quan trọng trên nhiều hệ thống và đòi tiền chuộc từ các tổ chức nạn nhân.

Cảnh báo từ CISA và Mức độ nghiêm trọng

CVE-2024-1086 trong Danh mục KEV của CISA

Việc CISA đưa CVE-2024-1086 vào danh mục KEV của họ nhấn mạnh mức độ nghiêm trọng của mối đe dọa.

Chỉ định này có ý nghĩa bổ sung đối với các cơ quan liên bang, những cơ quan này phải khắc phục các lỗ hổng đã được liệt kê trong khung thời gian cụ thể theo Chỉ thị Hoạt động Bắt buộc 22-01.

Các chuyên gia bảo mật khuyến nghị tất cả các tổ chức, không phân biệt lĩnh vực hay quy mô, coi các lỗ hổng được liệt kê trong KEV với mức độ ưu tiên cao nhất do xác nhận hoạt động khai thác thực tế.

CISA duy trì danh mục KEV như một tài nguyên có thẩm quyền để giúp các tổ chức quản lý lỗ hổng tốt hơn và ưu tiên các nỗ lực khắc phục dựa trên hoạt động đe dọa trong thế giới thực.

Danh mục này có sẵn ở nhiều định dạng, bao gồm CSV, JSON và các chế độ xem in ấn, cho phép tích hợp với các nền tảng quản lý lỗ hổng và hệ thống quản lý thông tin và sự kiện bảo mật (SIEM).

Các tổ chức nên tích hợp danh mục KEV làm đầu vào quan trọng cho các khuôn khổ quản lý lỗ hổng của mình, đảm bảo rằng các lỗ hổng đã bị khai thác nhận được sự chú ý ngay lập tức hơn các mối đe dọa lý thuyết.

Tham khảo thêm thông tin chi tiết về CVE-2024-1086 trong danh mục KEV của CISA tại CISA Known Exploited Vulnerabilities Catalog.

Mối liên hệ với các Chiến dịch Ransomware

Chỉ định của CISA về CVE-2024-1086 là “đã biết được sử dụng trong các chiến dịch ransomware” nhấn mạnh tính chất nguy hiểm của mối đe dọa.

Các nhóm tội phạm mạng đã tích hợp việc khai thác lỗ hổng này vào chuỗi tấn công của chúng.

Chúng sử dụng lỗ hổng này như một bước quan trọng để leo thang đặc quyền sau khi giành được quyền truy cập ban đầu vào các hệ thống Linux.

Sự hiện diện của lỗ hổng trong hệ thống con netfilter, nơi xử lý lọc gói và dịch địa chỉ mạng, làm cho nó đặc biệt có giá trị đối với kẻ tấn công.

Kẻ tấn công cần thao túng lưu lượng mạng hoặc vô hiệu hóa các cơ chế bảo mật để hoàn thành mục tiêu độc hại của chúng.

Hướng dẫn khắc phục và Biện pháp phòng ngừa

Ưu tiên cập nhật **Bản Vá Bảo Mật**

CISA đã đưa ra hướng dẫn rõ ràng cho các tổ chức vận hành hệ thống Linux, chỉ đạo họ “áp dụng các biện pháp giảm thiểu theo hướng dẫn của nhà cung cấp hoặc ngừng sử dụng sản phẩm nếu không có biện pháp giảm thiểu”.

Chỉ thị này nhấn mạnh tầm quan trọng tối đa của việc vá các hệ thống bị ảnh hưởng ngay lập tức.

Các tổ chức nên ưu tiên cập nhật các phiên bản kernel Linux lên các bản phát hành bảo mật mới nhất được cung cấp bởi nhà cung cấp phân phối của họ.

Điều này áp dụng cho dù họ sử dụng Red Hat Enterprise Linux, Ubuntu, Debian, SUSE, hay các biến thể Linux khác.

Triển khai Chiến lược Phòng thủ Chuyên sâu

Các nhà phòng thủ mạng nên triển khai giám sát toàn diện để tìm kiếm các dấu hiệu khai thác.

Hãy xem xét nhật ký hệ thống để phát hiện các nỗ lực leo thang đặc quyền bất thường và xác minh rằng tất cả các cài đặt kernel Linux đã được cập nhật lên các phiên bản đã vá.

Các chiến lược phòng thủ chuyên sâu (defense-in-depth), bao gồm phân đoạn mạng và kiểm soát truy cập nghiêm ngặt, có thể giúp giảm thiểu tác động của việc khai thác thành công trong khi các bản vá được triển khai trên môi trường doanh nghiệp.