Linux Ayrıcalık Yükseltme kusuru, bir saldırganın sistem üzerinde yükseltilmiş ayrıcalıklar elde etmesine ve potansiyel olarak tam kontrole yol açmasına olanak tanıdığından son derece kritik kusurlardan biridir.
Bilgisayar korsanları genellikle bu güvenlik açıklarından, kusurdan yararlanan kötü amaçlı kod veya komutlar hazırlayarak yararlanır, daha sonra bunları daha yüksek ayrıcalıklar kazanmak için hedef sistemde çalıştırarak aşağıdaki gibi kötü amaçlı faaliyetler gerçekleştirmelerine olanak tanır:
- Kötü amaçlı yazılım yükleme
- Veri çalmak
- Sistemin bütünlüğünü tehlikeye atmak
Aqua Nautilus araştırmacıları yakın zamanda Kinsing’in bulut hacklemesini yakaladılar ve saldırganın eylemlerini açığa çıkaran sıra dışı bir CVE-2023-4911 açığı buldular.
Kinsing tehdit aktörü, kripto kârı elde etmek için sunucuları ele geçiriyor ve bulut saldırılarını genişletmek için CSP kimlik bilgilerini çıkarıyor.
Finansal hizmetler sektörünü hedef alan son siber saldırı dalgasıyla Siber Dayanıklılığınızı sağlayın. Katılımcıların neredeyse %60’ı bir siber saldırının ardından tamamen iyileşebileceklerinden emin değil.
Yerinizi Kaydedin
Linux Ayrıcalık Yükseltme Kusuru
Kinsing genellikle kripto madenciliğini otomatikleştiriyor ancak son manuel testler bir değişime işaret ediyor.
Uzmanları endişelendiren CVE-2023-4911 güvenlik açıklarını hedef alıyorlar ve bu nedenle araştırmacılar kullanıcılara gelişen taktiklere dikkat etmelerini önerdi.
PHPUnit kusuru (CVE-2017-9841) Kinsing’e ilk erişim olanağı sağladı. 1337 numaralı bağlantı noktasında ters kabuk oluşturmak için Perl betiği bc.pl’yi kullandı. Manüel komutlar, deneme yanılma sonrasında dikkatle seçildi.
Looney Tunables (CVE-2023-4911) tehlikeli bir GNU C Kütüphanesi güvenlik açığıdır ve Kinsing, bunu root erişimi için kullanır. Kusur, ‘GLIBC_TUNABLES’ı içeriyor ve Kinsing @bl4sty’nin sitesinden bu güvenlik açığını hedef alan bir istismar kullanıyor.
Bu istismar Qualys’in yöntemine dayanıyor ve birden fazla mimaride çalışıyor. Kinsing ayrıca daha fazla saldırı için bir PHP istismarı ve karmaşıklığı giderilmiş bir JavaScript kullanıyor.
Bunun dışında Wesobase.js, base64 kodlu bir betiktir ve yetkisiz sunucu erişimi için bir web kabuğu arka kapısı oluşturan PHP-JavaScript karışımını ortaya çıkarır.
Aşağıda tüm temel özelliklerden bahsettik: –
- Şifre Koruması
- Dosya yönetimi
- Komut Yürütme
- Ağ Etkileşimleri
- Şifreleme ve Şifre Çözme
- Sunucu Bilgileri
- Kullanıcı Aracısı Kullanımı
- Karakter Seti Dönüşümü
Açığa Çıkabilecek Kimlik Bilgileri ve Veriler
Kinsing, CSP kimlik bilgilerini toplamayı ve AWS örnek kimliği gibi bulut ortamlarında risk oluşturan hassas verileri potansiyel olarak açığa çıkarmayı hedefliyor.
Aşağıda, ifşa edilebilecek tüm kimlik bilgileri ve verilerden bahsettik: –
- Geçici Güvenlik Kimlik Bilgileri
- IAM Rolü Kimlik Bilgileri
- Örnek Kimlik Belirteçleri
Öneriler
Aşağıda, güvenlik araştırmacıları tarafından sunulan tüm önerilerden bahsettik: –
- Güvenlik Açığı Düzeltme
- İzleme ve Tespit
- Sağlam güvenlik çözümleri kullanın
- Konuk kullanıcılara her zaman sınırlı erişilebilirlik uygulayın
IOC’ler
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.