5月30日美国网络安全暨基础设施安全局（CISA）发布资安公告，他们在已遭利用的漏洞漏洞目录（KEV）当中添加两个漏洞，分别是Check Point近期修补的安全闸道设备信息泄露漏洞CVE-2024-24919，以及Linux内核组件内存释放后再重新利用（Use After Free）的漏洞CVE-2024-1086，CVSS风险评分为8.6、7.8。CISA要求所有的联邦机构，必须在6月20前完成修补。

其中，较为引起关注的漏洞，是今年1月Linux基金会修补的CVE-2024-1086，这项漏洞存在于Linux内核5.14至6.6.14版，攻击者假如能够趁机取得一般用户权限，再触发漏洞，就有机会取得root权限。

而这项漏洞发生的原因，在于Linux内核的netfilter组件里，处理网络封包、数据封包的nftables出现内存双重释放（double-free）的弱点，有可能导致当机，或是让攻击者运行任意代码，研究人员Notselwyn在4月初公布细节及概念性验证代码（PoC），并将其命名为「Flipping Pages」，当时，尚未发现这项漏洞遭到利用的迹象。

虽然CISA并未公布这项漏洞遭到利用的情形，也没有透露攻击者如何进行漏洞利用，但有鉴于Debian、Ubuntu、Red Hat、Fedora等版本的Linux操作系统都会受到影响，用户后应尽速套用Linux供应商提供的新版软件因应。