🔒 CISA: گروه‌های باج‌افزاری آسیب‌پذیری شدید در لینوکس را اکسپلویت می‌کنند!

آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) تأیید کرده که یک آسیب‌پذیری با شدت بالا در هسته لینوکس (Linux Kernel) اکنون در حملات ransomware مورد اکسپلویت قرار گرفته است.

این نقص امنیتی با شناسه CVE-2024-1086، در تاریخ ۳۱ ژانویه ۲۰۲۴ به‌عنوان یک ضعف use-after-free در مؤلفه‌ی netfilter: nf_tables شناسایی شد. باگ مذکور نخستین بار در فوریه ۲۰۱۴ وارد کد لینوکس شده بود و پس از حدود ۱۰ سال، در ژانویه ۲۰۲۴ با یک commit جدید اصلاح شد.

🚨 جزئیات فنی آسیب‌پذیری با شدت بالا در هسته لینوکس

اکسپلویت موفق از این آسیب‌پذیری به مهاجم دارای دسترسی محلی (Local Access) اجازه می‌دهد سطح دسترسی خود را تا سطح Root ارتقا دهد؛ در نتیجه مهاجم می‌تواند کنترل کامل سیستم را به دست گیرد، دفاع‌ها را غیرفعال کند، فایل‌ها را تغییر دهد یا بدافزار نصب کند.

به گفته‌ی Immersive Labs، پیامدهای احتمالی شامل:

• تصاحب کامل سیستم پس از دسترسی روت،

• حرکت جانبی (Lateral Movement) در شبکه،

• و سرقت داده‌ها است.

در مارس ۲۰۲۴، پژوهشگری با نام مستعار Notselwyn در GitHub گزارشی فنی همراه با PoC اکسپلویت این باگ منتشر کرد که نشان می‌داد چگونه می‌توان در نسخه‌های ۵٫۱۴ تا ۶٫۶ کرنل لینوکس، دسترسی محلی را به سطح Root ارتقا داد.

🧩 نسخه‌های تحت‌تأثیر

این آسیب‌پذیری بسیاری از توزیع‌های محبوب لینوکس از جمله Debian، Ubuntu، Fedora و Red Hat را دربرمی‌گیرد — به‌ویژه سیستم‌هایی که از نسخه‌های ۳٫۱۵ تا ۶٫۸-rc1 کرنل استفاده می‌کنند.

💀 اکسپلویت فعال در حملات باج‌افزاری

در به‌روزرسانی روز پنج‌شنبه، CISA این آسیب‌پذیری را در فهرست Known Exploited Vulnerabilities (KEV) خود به‌عنوان یک مورد فعال در کمپین‌های باج‌افزاری (Ransomware) ثبت کرد.
هرچند این نهاد جزئیات دقیقی درباره گروه‌های مهاجم یا اهداف مشخص منتشر نکرده است.

این نقص پیش‌تر در مه ۲۰۲۴ به فهرست KEV افزوده شده بود و CISA از سازمان‌های فدرال خواسته بود تا تا ۲۰ ژوئن ۲۰۲۴ سیستم‌های خود را پچ کنند.

🛠️ راهکارهای کاهش ریسک (Mitigations)

در صورت عدم امکان پچ‌کردن فوری، CISA توصیه می‌کند مدیران سیستم اقدامات زیر را انجام دهند:

1. در صورت عدم نیاز، ماژول nf_tables را Blocklist کنید.

2. دسترسی به user namespaces را محدود کنید تا سطح حمله کاهش یابد.

3. ماژول LKRG (Linux Kernel Runtime Guard) را برای محافظت بیشتر بارگذاری کنید (با درنظرگرفتن احتمال ناپایداری سیستم).

⚠️ هشدار نهایی CISA

«چنین آسیب‌پذیری‌هایی به‌طور مکرر به‌عنوان بردار حمله توسط بازیگران مخرب مورد اکسپلویت قرار می‌گیرند و خطر جدی برای زیرساخت‌ها محسوب می‌شوند. اگر پچ در دسترس است، آن را اعمال کنید؛ در غیر این صورت استفاده از محصول را متوقف نمایید.» — CISA

🧠 جمع‌بندی Vulnerbyte

این رویداد یادآور آن است که حتی آسیب‌پذیری‌های قدیمیِ نهفته در کرنل‌های open-source می‌توانند پس از سال‌ها به ابزار مؤثر اکسپلویت برای گروه‌های ransomware تبدیل شوند.
مدیران سیستم باید نسخه‌های کرنل لینوکس را به‌روز نگه دارند و ماژول‌های غیرضروری مانند nf_tables را غیرفعال کنند تا ریسک حملات کاهش یابد.

منابع: