Получение root и выполнение кода: обновите Linux, чтобы не потерять данные

Агентство CISA добавило уязвимость ядра ​​Linux в каталог известных эксплуатируемых уязвимостей ( KEV ), сославшись на доказательства активной эксплуатации.

CVE-2024-1086 (оценка CVSS 3.1: 7,8) связана с ошибкой use-after-free (UAF) в компоненте netfilter и позволяет локальному злоумышленнику повысить привилегии обычного пользователя до root и выполнить произвольный код. Уязвимость была устранена в январе 2024 года. При этом точная природа атак, использующих уязвимость, на данный момент неизвестна.

Netfilter — это платформа, предоставляемая ядром Linux , которая позволяет реализовывать различные сетевые операции в виде пользовательских обработчиков для облегчения фильтрации пакетов, трансляции сетевых адресов и трансляции портов.

В каталог KEV также добавлен недавно обнаруженный недостаток, влияющий на продукты безопасности сетевых шлюзов Check Point ( CVE-2024-24919 с оценкой CVSS 3.1: 8,6). Данная уязвимость позволяет атакующему читать определенную информацию на подключенных к Интернету шлюзах с включенным удаленным доступом VPN или мобильным доступом. Зафиксированные попытки атак в основном направлены на удаленные сценарии доступа через старые локальные аккаунты с нерекомендуемой аутентификацией по паролю.

ИБ-компания Censys заявила, что по состоянию на 31 мая наблюдалось 13 800 подключенных к Интернету устройств по всему миру, подверженных воздействию уязвимых программных продуктов, но не все из устройств обязательно уязвимы для этой ошибки. Большинство зараженных хостов находятся в Японии и Италии.

Исследователи Censys пояснили, что один из затронутых продуктов — Quantum Spark Gateway — создан для малого и среднего бизнеса, а Quantum Security Gateway предназначен для крупных компаний и центров обработки данных. Также затронуты продукты Check Point CloudGuard Network, Quantum Maestro и Quantum Scalable Chassis.

По данным Censys, более 91% устройств, подключенных к Интернету, являются шлюзами Quantum Spark, что указывает на то, что «большинство затронутых организаций могут быть небольшими коммерческими организациями».

Ввиду активной эксплуатации CVE-2024-1086 и CVE-2024-24919 федеральным агентствам рекомендуется применить последние исправления до 20 июня 2024 года, чтобы защитить свои сети от потенциальных угроз.