Οι χειριστές του κακόβουλου λογισμικού Kinsing στοχεύουν περιβάλλοντα
cloud
με συστήματα ευάλωτα στα “Looney Tunables”, ένα ζήτημα ασφαλείας
Linux
που προσδιορίζεται ως CVE-2023-4911 που επιτρέπει σε έναν τοπικό εισβολέα να αποκτήσει δικαιώματα root στο σύστημα.
Το Looney Tunables είναι μια υπερχείλιση buffer στον δυναμικό φορτωτή του glibc (ld.so) που παρουσιάστηκε στο glibc 2.34 τον Απρίλιο του 2021 αλλά αποκαλύφθηκε σ
τι
ς αρχές Οκτωβρίου 2023. Μέρες μετά την
αποκάλυψη
, οι εκμεταλλεύσεις απόδειξης της ιδέας (PoC) έγιναν δημόσια διαθέσιμες.
Σε μια αναφορά από την εταιρεία ασφάλειας cloud Aqua Nautilus, οι ερευνητές περιγράφουν μια επίθεση κακόβουλου λογισμικού Kinsing όπου ο παράγοντας απειλής εκμεταλλεύτηκε το CVE-2023-4911 για να αυξήσει τα δικαιώματα σε ένα παραβιασμένο μηχάνημα.
Το Kinsing είναι γνωστό για την παραβίαση συστημάτων και εφαρμογών που βασίζονται σε cloud (π.χ. Kubernetes, Docker API, Redis και Jenkins) για την ανάπτυξη λογισμικού
κρυπτο
νομίας. Πρόσφατα, η Microsoft παρατήρησε ότι στοχεύουν συμπλέγματα Kubernetes μέσω εσφαλμένων ρυθμισμένων κοντέινερ PostgreSQL.
Οι ερευνητές του Aqua Nautilus λένε ότι η επίθεση ξεκινά με την εκμετάλλευση μιας γνωστής ευπάθειας στο πλαίσιο δοκιμών PHP «PHPUnit» για να αποκτήσουν βάση εκτέλεσης κώδικα, ακολουθούμενη από την ενεργοποίηση του ζητήματος «Looney Tunables» για την κλιμάκωση των προνομίων.
«Χρησιμοποιώντας μια στοιχειώδη αλλά τυπική επίθεση εκμετάλλευσης ευπάθειας PHPUnit, στοιχείο της συνεχιζόμενης καμπάνιας του Kinsing, αποκαλύψαμε τις μη αυτόματες προσπάθειες του ηθοποιού απειλών να χειραγωγήσει την ευπάθεια του Looney Tunables», αναφέρει το
Έκθεση Aqua Nautilus.
Λεπτομέρειες επίθεσης
Σε αντίθεση με το κανονικό λειτουργικό τους πρότυπο, το Kinsing δοκίμασε την τελευταία επίθεση με μη αυτόματο τρόπο, πιθανώς για να διασφαλίσει ότι λειτουργεί όπως αναμενόταν πριν αναπτύξει σενάρια εκμετάλλευσης για την αυτοματοποίηση της εργασίας.
CVE-2017-9841 εκμετάλλευση
(AquaSec)
Η εκμετάλλευση του ελαττώματος του PHPUnit (CVE-2017-9841) οδηγεί στο άνοιγμα ενός αντίστροφου κελύφους πάνω από τη θύρα 1337 στο παραβιασμένο σύστημα, το οποίο οι χειριστές Kinsing αξιοποιούν για να εκτελέσουν εντολές αναγνώρισης όπως “uname -a” και “passwrd”.
Άνοιγμα αντίστροφου κελύφους
(AquaSec)
Επιπλέον, οι εισβολείς ρίχνουν ένα σενάριο με το όνομα ‘gnu-acme.py’ στο σύστημα, το οποίο αξιοποιεί το CVE-2023-4911 για ανύψωση προνομίων.
Το exploit για το Looney Tunables λαμβάνεται απευθείας από το αποθετήριο του
ο ερευνητής
που κυκλοφόρησαν ένα PoC, πιθανόν να κρύψουν τα κομμάτια τους. Η BleepingComputer ειδοποίησε τον ερευνητή για την κατάχρηση και υποσχέθηκε να διακόψει την κακόβουλη λειτουργία αντικαθιστώντας τον άμεσο σύνδεσμο.
Οι εισβολείς κατεβάζουν επίσης ένα σενάριο PHP, το οποίο αναπτύσσει μια κερκόπορτα κελύφους ιστού JavaScript (‘wesobase.js’) που υποστηρίζει τα επόμενα στάδια επίθεσης.
Λήψη του ωφέλιμου φορτίου JS
(AquaSec)
Συγκεκριμένα, το backdoor παρέχει στους εισβολείς τη δυνατότητα να εκτελούν εντολές, να εκτελούν ενέργειες διαχείρισης αρχείων, να συλλέγουν πληροφορίες σχετικά με το δίκτυο και τον διακομιστή και να εκτελούν λειτουργίες κρυπτογράφησης/αποκρυπτογράφησης.
Συλλογή πληροφοριών AWS
(AquaSec)
Τελικά, ο Kinsing έδειξε ενδιαφέρον για τα διαπιστευτήρια παρόχου υπηρεσιών cloud (CSP), ιδιαίτερα για την πρόσβαση σε δεδομένα ταυτότητας παρουσίας AWS, τα οποία το AquaSec χαρακτηρίζει ως σημαντική στροφή προς πιο εξελιγμένες και επιζήμιες δραστηριότητες για τον συγκεκριμένο παράγοντα απειλής.
Οι ερευνητές πιστεύουν ότι αυτή η καμπάνια ήταν ένα πείραμα, καθώς ο παράγοντας απειλής βασίστηκε σε διαφορετική τακτική και επέκτεινε το εύρος της επίθεσης στη συλλογή διαπιστευτηρίων παρόχων υπηρεσιών Cloud.
VIA:
bleepingcomputer.com