1. 漏洞概述

2024年6月4日，安全运营中心监测到Linux kernel权限提升漏洞，漏洞编号：CVE-2024-1086，漏洞威胁等级：高危。

2. 漏洞详情

Netfilter是Linux内核提供的一个框架，它允许以自定义处理程序的形式实现各种与网络相关的操作。Netfilter为数据包过滤、网络地址转换和端口转换提供了各种功能和操作，它们提供了通过网络引导数据包和禁止数据包到达网络中的敏感位置所需的功能。

由于Linux内核的netfilter：nf_tables组件存在释放后重利用漏洞， nft_verdict_init() 函数允许在钩子判定中使用正值作为丢弃错误，当 NF_DROP 发出类似于 NF_ACCEPT 的丢弃错误时，nf_hook_slow() 函数会导致双重释放漏洞，本地攻击者利用此漏洞可将普通用户权限提升至 root 权限。

3. 影响版本

15<= Linux kernel <= 6.8-rc1

4. 排查方法

l 检查当前Linux内核版本：运行uname -r命令，确定你当前正在运行的Linux内核版本。

l 检查影响范围：确认你的系统版本是否在受影响的Linux内核版本v5.14 – v6.6之间（不包括已修复的分支版本v5.15.149、v6.1.76和v6.6.15）。

l 系统日志分析：检查系统日志以识别是否有任何与CVE-2024-1086相关的异常行为或攻击尝试。

5. 处置建议

1. 升级Linux内核：

如果你的Linux发行版已经发布了包含此漏洞修复的内核更新，请使用包管理器来更新内核。例如，在基于Debian的系统（如Ubuntu）上，可以使用apt来更新内核： sudo apt update

sudo apt upgrade

sudo apt dist-upgrade

在基于Red Hat的系统（如CentOS或Fedora）上，可以使用yum或dnf来更新：sudo yum update # 或 sudo dnf update

安装更新后，重启系统以使新的内核版本生效。

2. 应用补丁：

如果Linux发行版没有发布新的内核版本，但提供了针对此漏洞的补丁，你需要下载并应用这些补丁。具体步骤会因发行版而异，但通常涉及下载补丁文件，然后使用如rpm或dpkg等工具来安装。

3. 验证更新：

重启后，再次运行uname -r命令来确认新的内核版本已经加载。同时，检查系统日志以确认没有与新内核或补丁相关的问题。

6. 缓解措施

1. 加强访问控制：

修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网。

加强系统和网络的访问控制，减少攻击面。

2. 启用强密码策略：

启用强密码策略并设置为定期修改。

3. 多因素认证：

启用多因素认证机制，增加账户安全性。

4. 最小权限原则：

加强系通用户和权限管理，遵循最小权限原则，用户和软件权限应保持在最低限度。

5. 定期更新系统补丁：

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

参考连接：https://github.com/Notselwyn/CVE-2024-1086