1.漏洞概述

2024 年 6 月 4 日，安全运营中心监测到 Linux kernel 权限提升漏洞，漏洞编号：CVE-2024-1086，漏洞威胁等级：高危。

2.漏洞详情

Netfilter 是 Linux 内核提供的一个框架，它允许以自定义处理程序的形式实现各种与网络相关的操作。Netfilter 为数据包过滤、网络地址转换和端口转换提供了各种功能和操作，它们提供了通过网络引导数据包和禁止数据包到达网络中的敏感位置所需的功能。由于 Linux 内核的 netfilter：nf_tables 组件存在释放后重利用漏洞， nft_verdict_init() 函数允许在钩子判定中使用正值作为丢弃错误，当 NF_DROP 发出类似于 NF_ACCEPT 的丢弃错误时，nf_hook_slow() 函数会导致双重释放漏洞，本地攻击者利用此漏洞可将普通用户权限提升至 root 权限。

3.影响版本

15<= Linux kernel <= 6.8-rc1

4.排查方法

⚫ 检查当前 Linux 内核版本：运行 uname -r 命令，确定你当前正在运行的 Linux内核版本。

⚫ 检查影响范围：确认你的系统版本是否在受影响的 Linux 内核版本 v5.14 – v6.6 之间（不包括已修复的分支版本 v5.15.149、v6.1.76 和 v6.6.15）。

⚫ 系统日志分析：检查系统日志以识别是否有任何与 CVE-2024-1086 相关的异常行为或攻击尝试。

5.处置建议

1. 升级 Linux 内核：

如果你的 Linux 发行版已经发布了包含此漏洞修复的内核更新，请使用包管理器来更新内核。例如，在基于 Debian 的系统（如 Ubuntu）上，可以使用 apt 来更新内核： sudo apt updatesudo apt upgradesudo apt dist-upgrade在基于 Red Hat 的系统（如 CentOS 或 Fedora）上，可以使用 yum 或 dnf 来更新：sudo yum update # 或 sudo dnf update安装更新后，重启系统以使新的内核版本生效。

2. 应用补丁：

如果 Linux 发行版没有发布新的内核版本，但提供了针对此漏洞的补丁，你需要下载并应用这些补丁。具体步骤会因发行版而异，但通常涉及下载补丁文件，然

后使用如 rpm 或 dpkg 等工具来安装。

3. 验证更新：

重启后，再次运行 uname -r 命令来确认新的内核版本已经加载。同时，检查

系统日志以确认没有与新内核或补丁相关的问题。

6.缓解措施

1. 加强访问控制：

修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如 SSH、RDP 等）暴露到公网。加强系统和网络的访问控制，减少攻击面。

2. 启用强密码策略：

启用强密码策略并设置为定期修改。

3. 多因素认证：

启用多因素认证机制，增加账户安全性。

4. 最小权限原则：

加强系统用户和权限管理，遵循最小权限原则，用户和软件权限应保持在最低限度。

5. 定期更新系统补丁：

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

参考连接：https://github.com/Notselwyn/CVE-2024-1086  

预警通告来源：赛尔网络安全运营中心

联系人：梁宇

邮箱：liangyu@cernet.com

电话：15848147651