CVE-2024-36971

Android Kernel

ВЕРОЯТНОСТЬ 0.5%
Дата обнаружения

2024-08-07

Официальное описание

Android contains an unspecified vulnerability in the kernel that allows for remote code execution. This vulnerability resides in Linux Kernel and could impact other products, including but not limited to Android OS.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-36971 представляет собой критическую уязвимость типа Use-After-Free (UAF) в сетевом стеке ядра Linux, специфичную для реализации управления маршрутами (route management). Проблема связана с тем, как ядро обрабатывает очистку объектов при изменении конфигурации сети.

Злоумышленник может спровоцировать ситуацию, при которой указатель продолжает ссылаться на освобожденную область памяти. Это позволяет выполнить произвольный код с привилегиями ядра (Kernel-level RCE). Уязвимость классифицируется как «0-day», так как были зафиксированы случаи её ограниченной эксплуатации в реальных атаках до выпуска официальных исправлений.

Как исправить

Основным методом устранения является установка обновлений безопасности Android от августа 2024 года или более поздних версий.

  1. Для конечных пользователей: Перейдите в Настройки -> Система -> Обновление системы и установите доступный патч. Уровень исправления безопасности должен быть от 2024-08-01 или выше.

  2. Для администраторов парка устройств (MDM): Проверьте статус комплаенса устройств и принудительно инициируйте обновление на всех девайсах с версией ядра Linux, подверженной уязвимости.

  3. Для разработчиков прошивок и системных инженеров: Необходимо интегрировать патч из Android Common Kernel (ACK) в дерево исходного кода вашего ядра. Исправление заключается в добавлении корректной блокировки и проверки жизненного цикла объектов в сетевых подсистемах.

Пример синхронизации репозитория:

repo sync -c

Пример применения патча (если используется локальное дерево):

git fetch https://android.googlesource.com/kernel/common <branch_name> && git cherry-pick <commit_hash_of_fix>

Временные меры

Если немедленное обновление ОС невозможно, рекомендуется принять следующие меры для снижения поверхности атаки:

  1. Ограничение сетевой активности: Минимизируйте использование недоверенных Wi-Fi сетей и отключите функции автоматического подключения к открытым точкам доступа.

  2. Изоляция приложений: Используйте профили «Work Profile» или функции изоляции приложений, чтобы ограничить возможности горизонтального перемещения (lateral movement) в случае компрометации пользовательского пространства.

  3. Мониторинг через ADB (для аудита): Проверьте текущий уровень патча безопасности на устройстве через командную строку:

adb shell getprop ro.build.version.security_patch
  1. Использование VPN: Применяйте зашифрованные туннели для фильтрации входящего трафика на уровне сетевого шлюза, что может затруднить доставку эксплойта.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей