CISA แจ้งเตือนช่องโหว่ระดับความรุนแรงสูงบน Linux กำลังถูกใช้ในการโจมตีจากกลุ่ม Ransomware

CISA ยืนยันเมื่อวันพฤหัสบดี (30 ตุลาคม 2025) ที่ผ่านมาว่า ขณะนี้พบการโจมตีโดยใช้ประโยชน์จากช่องโหว่การยกระดับสิทธิ์ระดับความรุนแรงสูงใน Linux kernel แล้ว ซึ่งเป็นสาเหตุของการโจมตีด้วยแรนซัมแวร์

แม้ว่าช่องโหว่ดังกล่าว (CVE-2024-1086) จะถูกเปิดเผยตั้งแต่เมื่อวันที่ 31 มกราคม 2024 โดยเป็นช่องโหว่ use-after-free บน netfilter: nf_tables kernel component และได้รับการแก้ไขแล้วในเดือนเดียวกัน แต่ช่องโหว่นี้จริง ๆ แล้ว เกิดขึ้นครั้งแรกจากการแก้ไขโค้ดเมื่อกว่า 10 ปีก่อน ในเดือนกุมภาพันธ์ 2014

การโจมตีช่องโหว่นี้ได้สำเร็จจะทำให้แฮ็กเกอร์ที่เข้าถึงระบบในระดับ local สามารถยกระดับสิทธิ์ได้ ทำให้มีโอกาสเข้าควบคุมอุปกรณ์เป้าหมายในระดับ root ได้

ตามที่ Immersive Labs อธิบาย ผลกระทบที่อาจเกิดขึ้น รวมถึงการเข้าควบคุมระบบเมื่อแฮ็กเกอร์ได้สิทธิ์ระดับ root ซึ่งทำให้สามารถปิดระบบป้องกัน, แก้ไขไฟล์ หรือติดตั้งมัลแวร์ได้ รวมถึงการโจมตีต่อไปภายในเครือข่าย และการขโมยข้อมูล

ปลายเดือนมีนาคม 2024 นักวิจัยด้านความปลอดภัยที่ใช้นามแฝงว่า 'Notselwyn' ได้เผยแพร่บทความเชิงลึกพร้อมโค้ดทดสอบการโจมตี (PoC) บน GitHub สำหรับช่องโหว่ CVE-2024-1086 แสดงให้เห็นวิธีการยกระดับสิทธิ์ภายในเครื่องบน Linux kernel เวอร์ชัน 5.14 ถึง 6.6

ช่องโหว่นี้ส่งผลกระทบต่อหลายดิสโทรลินุกซ์สำคัญ รวมถึง Debian, Ubuntu, Fedora และ Red Hat โดยครอบคลุม kernel เวอร์ชันตั้งแต่ 3.15 จนถึง 6.8-rc1

กำลังถูกใช้ในการโจมตีจากกลุ่ม Ransomware

ในการอัปเดตเมื่อวันพฤหัสบดี เกี่ยวกับฐานข้อมูลช่องโหว่ที่กำลังถูกใช้ในการโจมตีจริง หน่วยงานความมั่นคงปลอดภัยไซเบอร์ของสหรัฐฯ ระบุว่า ช่องโหว่นี้กำลังถูกนำไปใช้ในแคมเปญแรนซัมแวร์แล้ว แต่ไม่ได้ให้รายละเอียดเพิ่มเติมเกี่ยวกับความพยายามโจมตีที่กำลังดำเนินอยู่

CISA ได้เพิ่มช่องโหว่ความปลอดภัยนี้ลงในฐานข้อมูล Known Exploited Vulnerabilities (KEV) ในเดือนพฤษภาคม 2024 พร้อมสั่งการให้หน่วยงานรัฐบาลกลางดำเนินการป้องกันระบบของตนให้เรียบร้อยภายในวันที่ 20 มิถุนายน 2024

หากไม่สามารถติดตั้งแพตช์ได้ แนะนำให้ผู้ดูแลระบบดำเนินมาตรการลดความเสี่ยงดังต่อไปนี้:

  1. บล็อกโมดูล 'nf_tables' หากไม่จำเป็น หรือต้องใช้งานอยู่
  2. จำกัดการเข้าถึง user namespaces เพื่อลดความเสี่ยงของการโจมตี
  3. ติดตั้งโมดูล Linux Kernel Runtime Guard (LKRG) แม้ว่ามาตรการนี้อาจทำให้ระบบไม่เสถียร

CISA ระบุว่าช่องโหว่ประเภทนี้มักถูกผู้โจมตีใช้เป็นช่องทางในการโจมตี และสร้างความเสี่ยงอย่างมากต่อหน่วยงานของรัฐบาลกลาง จึงควรดำเนินมาตรการลดความเสี่ยงตามคำแนะนำของผู้ผลิต หรือเลิกใช้ผลิตภัณฑ์นั้นหากไม่มีวิธีป้องกันที่เหมาะสม

ที่มา : bleepingcomputer