Lỗ hổng Linux kernel cho phép leo thang đặc quyền và phát tán ransomware

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
118
1.230 bài viết
Lỗ hổng Linux kernel cho phép leo thang đặc quyền và phát tán ransomware
WhiteHat Team
Một cảnh báo an ninh mạng cấp bách vừa được CISA phát đi, liên quan đến một lỗ hổng trong nhân hệ điều hành Linux. Lỗ hổng này, được định danh là CVE-2024-1086, hiện đang bị tin tặc khai thác trong các chiến dịch tấn công thực tế nhằm triển khai ransomware.

0924bb11ee4d62133b5c – Đã sửa.jpg

Theo thông báo từ CISA, CVE-2024-1086 là một lỗ hổng “use-after-free” nằm trong thành phần netfilter của nhân Linux, cụ thể ở phân hệ "nf_tables". Về bản chất, đây là một lỗi quản lý bộ nhớ cho phép kẻ tấn công sau khi đã xâm nhập được vào hệ thống Linux (thông qua tài khoản người dùng thông thường), leo thang đặc quyền lên quyền root. Khi đó, chúng có thể kiểm soát hoàn toàn máy chủ, cài đặt mã độc, vô hiệu hóa các công cụ giám sát hoặc triển khai ransomware để mã hóa toàn bộ dữ liệu.

Các nhà nghiên cứu cho biết lỗ hổng này được phân loại và thuộc nhóm lỗi quản lý bộ nhớ đã từng dẫn đến nhiều thảm họa bảo mật trong lịch sử, tương tự những lỗi từng bị khai thác để tấn công trình duyệt, phần mềm văn phòng và hệ điều hành lớn.

Các chiến dịch tấn công hiện nay thường diễn ra theo quy trình nhiều tầng:
  • Đầu tiên, tin tặc xâm nhập vào máy chủ hoặc container Linux thông qua các dịch vụ công khai, lỗ hổng ứng dụng web hoặc thông tin đăng nhập bị rò rỉ.
  • Sau đó, chúng khai thác CVE-2024-1086 để giành quyền root, vượt qua các lớp bảo vệ mặc định của hệ thống.
  • Khi đã kiểm soát được toàn bộ máy chủ, kẻ tấn công triển khai ransomware, mã hóa dữ liệu trong phạm vi rộng hoặc lan sang các máy chủ khác cùng hệ thống.
Điều đáng lo ngại là vì lỗ hổng tồn tại trong nhân hệ điều hành nên mọi công cụ giám sát cấp cao hơn như antivirus hoặc agent bảo mật đều khó phát hiện hành vi này.

Lỗ hổng này ảnh hưởng trực tiếp đến:
  • Các phiên bản Linux kernel dễ bị tổn thương (chưa được vá lỗi);
  • Máy chủ doanh nghiệp, hệ thống đám mây, trung tâm dữ liệu và hạ tầng dịch vụ web đang vận hành trên Linux;
  • Các tổ chức chưa áp dụng bản vá hoặc chưa kiểm soát được việc cập nhật hệ thống.
Do Linux chiếm hơn 70% trong hạ tầng máy chủ toàn cầu, nguy cơ bị tấn công lan rộng ở quy mô toàn cầu là rất lớn. Không chỉ gây gián đoạn dịch vụ, mất dữ liệu hay thiệt hại kinh tế, việc khai thác lỗ hổng kernel còn có thể mở đường cho tấn công sâu hơn như cài đặt backdoor, trộm dữ liệu người dùng hoặc kiểm soát mạng nội bộ.

Sau khi các nhà nghiên cứu độc lập và đội ngũ phản ứng sự cố phát hiện hoạt động khai thác lỗ hổng này trong tự nhiên, CISA đã bổ sung CVE-2024-1086 vào danh mục “Known Exploited Vulnerabilities”. Động thái này đồng nghĩa với việc:
  • Các cơ quan liên bang Hoa Kỳ bắt buộc phải vá lỗi ngay lập tức hoặc ngừng sử dụng hệ thống bị ảnh hưởng;
  • Các tổ chức tư nhân và doanh nghiệp toàn cầu được khuyến nghị hành động khẩn cấp, coi đây là ưu tiên bảo mật hàng đầu.

CISA và các chuyên gia an ninh mạng đưa ra hàng loạt khuyến cáo cấp bách:​

1. Kiểm tra và cập nhật hệ thống:​

  • Xác định phiên bản Linux kernel đang sử dụng, đối chiếu với thông tin từ nhà cung cấp (Red Hat, Ubuntu, Debian, SUSE, v.v.);
  • Áp dụng bản vá bảo mật mới nhất từ nhà phát hành;
  • Nếu không thể vá ngay, cần cô lập hệ thống, giới hạn truy cập và giám sát hoạt động kernel chặt chẽ.

2. Giám sát hành vi bất thường:​

  • Theo dõi nhật ký hệ thống (system logs) để phát hiện hành vi leo thang đặc quyền, truy cập trái phép hoặc hoạt động kernel bất thường;
  • Triển khai công cụ EDR/XDR có khả năng phát hiện hành vi khai thác kernel-level.

3. Chuẩn bị phòng thủ ransomware:​

  • Sao lưu dữ liệu thường xuyên, tách biệt hệ thống backup khỏi mạng chính;
  • Kiểm tra khả năng khôi phục dữ liệu định kỳ;
  • Nâng cao nhận thức người dùng về email lừa đảo và các chiến thuật xâm nhập.

4. Đánh giá toàn bộ hạ tầng:​

  • Lập danh sách tất cả hệ thống Linux trong doanh nghiệp;
  • Xác định các máy chủ quan trọng để ưu tiên vá và bảo vệ trước.
Trong nhiều năm, Linux luôn được cộng đồng công nghệ tin tưởng là nền tảng “an toàn hơn” so với các hệ điều hành khác. Tuy nhiên, CVE-2024-1086 đã chứng minh rằng không có hệ thống nào là tuyệt đối an toàn, đặc biệt khi lỗ hổng xuất hiện ngay trong nhân của hệ điều hành. Với việc lỗ hổng này đang bị khai thác trong các chiến dịch ransomware thực tế, các tổ chức cần hành động nhanh chóng và dứt khoát từ vá lỗi, kiểm tra hệ thống, đến nâng cấp chiến lược giám sát bảo mật. Mọi hệ thống đều có thể trở thành nạn nhân nếu thiếu sự cảnh giác và chuẩn bị kỹ lưỡng.
WhiteHat
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • BADCANDY tái bùng phát: Mã độc “ẩn thân” khai thác lỗ hổng Cisco IOS XE
  • Lỗ hổng nghiêm trọng trong ASP.NET Core cho phép tấn công HTTP Request Smuggling
  • Lỗ hổng nghiêm trọng trong Docker Compose cho phép ghi đè tệp tùy ý
  • Cuộc “đổ bộ” của botnet: PHP server, IoT và cloud bị tấn công hàng loạt
  • Lỗ hổng RCE trong XWiki biến server nội bộ thành máy đào tiền ảo
  • Ubuntu vá lỗi nghiêm trọng trong nhân Linux cho phép leo thang đặc quyền lên root
    • Thẻ
    cve-2024-1086 linux linux kernel ransomware use-after-free
    Bên trên