Kinsing kötü amaçlı yazılım operatörleri, yerel bir saldırganın sistemde kök ayrıcalıkları kazanmasına izin veren CVE-2023-4911 olarak tanımlanan bir Linux güvenlik sorunu olan "Looney Tunables" a karşı savunmasız sistemlerle bulut ortamlarını hedefliyor.
Looney Tunables, GlibC'nin Nisan 2021'de GlibC 2.34'te tanıtılan ancak Ekim 2023'ün başlarında açıklanan bir tampon taşmasıdır. Açıklamadan günler sonra, kavram kanıtı (POC) istismarları halka açık hale geldi.
Bulut güvenlik şirketi Aqua Nautilus'un bir raporunda, araştırmacılar, tehdit oyuncusunun, tehlikeye atılan bir makinedeki izinleri yükseltmek için CVE-2023-4911'den yararlandığı bir kinsing kötü amaçlı yazılım saldırısı anlatıyor.
Kinsing, kriptominasyon yazılımını dağıtmak için bulut tabanlı sistemleri ve uygulamaları (örneğin Kubernetes, Docker API'leri, Redis ve Jenkins) ihlal etmekle bilinir. Son zamanlarda Microsoft, yanlış yapılandırılmış PostgreSQL kapları aracılığıyla Kubernetes kümelerini hedeflemelerini gözlemledi.
Aqua Nautilus araştırmacıları, saldırının bir kod yürütme tabanı kazanmak için PHP test çerçevesinde 'PHPunit' bilinen bir güvenlik açığından yararlanarak başladığını ve ardından ayrıcalıkları artırmak için 'Looney Tuned kadar' sorununu tetiklediğini söylüyor.
Aqua Nautilus raporunu, "Kinsing'in devam eden kampanyasının bir bileşeni olan ilkel ama tipik bir PHPunit güvenlik açığı istismar saldırısı kullanarak, Looney Tunables güvenlik açığını manipüle etmek için tehdit oyuncunun manuel çabalarını ortaya çıkardık."
Normal operasyonel standartlarının aksine, Kinsing en son saldırıyı manuel olarak test etti, muhtemelen görevi otomatikleştirmek için sömürü komut dosyaları geliştirmeden önce beklendiği gibi çalıştığından emin oldu.
PHPunit kusurundan yararlanmak (CVE-2017-9841), uzlaşma operatörlerinin 'Uname -a' ve 'Passwrd' gibi keşif komutlarını yürütmek için kaldırdığı, uzlaşılmış sistemde 1337 bağlantı noktasının üzerinden bir ters kabuk açmaya yol açar.
Buna ek olarak, saldırganlar, ayrıcalık yüksekliği için CVE-2023-4911'i kullanan sistemde 'Gnu-Acme.py' adlı bir senaryo bırakıyor.
Looney Tunables için istismar, doğrudan izlerini gizleyecek bir POC yayınlayan araştırmacının deposundan alınır. BleepingComputer, istismarın araştırmacılarına haber verdi ve doğrudan bağlantıyı değiştirerek kötü niyetli işlemi bozacağına söz verdi.
Saldırganlar ayrıca sonraki saldırı aşamalarını destekleyen bir JavaScript Web Shell Backdoor ('Wesobase.js') dağıtan bir PHP komut dosyası indiriyorlar.
Özellikle, arka kapı saldırganlara komutlar yürütme, dosya yönetimi eylemleri gerçekleştirme, ağ ve sunucu hakkında bilgi toplama ve şifreleme/şifre çözme işlevleri gerçekleştirme olanağı sağlar.
Nihayetinde, Kinsing, özellikle Aquasec'in belirli tehdit oyuncusu için daha sofistike ve zarar verici faaliyetlere doğru önemli bir değişim olarak karakterize edilen AWS örneği kimlik verilerine erişmek için bulut servis sağlayıcısı (CSP) kimlik bilgilerine ilgi gösterdi.
Araştırmacılar, tehdit oyuncusu farklı bir taktiklere dayandığı ve bulut hizmeti sağlayıcılarının kimlik bilgilerini toplamaya yönelik saldırının kapsamını genişlettiği için bu kampanyanın bir deney olduğuna inanıyorlar.
Yeni 'Looney Tunables' Linux hatası büyük dağıtımlarda kök veriyor
Büyük Dağıtımlarda Kök Veren Linux Kususu için Serbest Yardım
Microsoft: Hackerlar, ihlal edilen SQL sunucuları aracılığıyla Azure Cloud VM'leri hedefleyin
Tellyouthepass fidye yazılımı Linux'ta canlandırıldı, Windows Log4J saldırıları
QNAP, QTS OS, Uygulamalardaki Kritik Komut Enjeksiyon Kusurları konusunda uyarıyor
Kaynak: Bleeping Computer