Linux 内核释放后重用漏洞正被用于勒索软件攻击

美国网络安全和基础设施安全局（CISA）发布紧急警报，指出Linux内核中存在一个严重的释放后重用漏洞（CVE-2024-1086）。该漏洞潜伏在netfilter:nf_tables组件中，可使本地攻击者提升权限并可能部署勒索软件，对全球企业系统造成严重破坏。

漏洞概况与影响范围

根据CISA于2025年10月31日更新的已知被利用漏洞（KEV）目录，这个今年初首次披露的漏洞已被证实用于针对未打补丁的Linux服务器的攻击活动。由于Linux广泛应用于从云基础设施到物联网设备的各个领域，这一警告凸显了在勒索软件事件激增背景下开源生态系统面临的日益严峻的威胁。

安全研究人员确认，攻击者通过构造恶意netfilter规则来触发不当的内存释放操作，从而利用CVE-2024-1086漏洞。当通过钓鱼攻击或弱凭证获得本地访问权限的用户运行漏洞利用程序时，系统会释放与网络表相关的内存但未能清空指针，导致悬垂引用被重复利用。

攻击链与潜在危害

这种漏洞利用最终可实现具有root权限的任意代码执行，为部署LockBit或Conti等勒索软件变种铺平道路。CISA强调应立即打补丁，受影响版本涵盖Ubuntu、Red Hat Enterprise Linux和Debian等广泛使用的发行版，特别是内核版本低于6.1.77的系统。

技术细节与缓解措施

该漏洞源于典型的释放后重用错误（CWE-416），内核的netfilter子系统在规则评估期间错误处理了表销毁操作。攻击者仅需本地执行权限，使其成为初始访问后的有效第二阶段载荷。

在勒索软件攻击场景中，威胁行为者将此漏洞与社会工程学手段结合，加密文件并窃取数据，要求以加密货币支付赎金。自2024年3月以来，漏洞利用PoC已在暗网论坛流传，2025年第三季度针对医疗和金融行业的实际攻击激增。

以下是CVE详细说明：

防护建议

企业应使用Lynis或OpenVAS等工具扫描环境中存在漏洞的内核，并根据供应商指南实施缓解措施。若无法更新，CISA建议停止使用受影响产品。这一事件凸显了混合云中遗留Linux部署的风险，攻击者越来越多地针对开源漏洞实施高影响力的勒索软件攻击。

随着漏洞利用技术的演进，主动的内核加固措施（如启用SELinux和监控netfilter日志）对于抵御这些隐蔽威胁仍然至关重要。