Bilgisayar korsanları ‘Looney Tunables’ hatasını istismar ettiğinden CISA yama yapılmasını talep ediyor


Yönetişim ve Risk Yönetimi, Yama Yönetimi

Kinsing Tehdit Aktörü, Yeni Kusurla Savunmasız Bulut Ortamlarını Hedeflediğini Gözlemledi

Chris Riotta (@chrisriotta) •
22 Kasım 2023

Bilgisayar korsanları 'Looney Tunables' hatasını istismar ettiğinden CISA yama yapılmasını talep ediyor
CISA, Linux sistemlerini etkileyen Looney Tunables kusurunu bilinen istismar edilen güvenlik açıkları kataloğuna ekler. (Resim: Shutterstock)

Araştırmacıların aktif olarak istismar edilen bir güvenlik açığını keşfetmesinin ardından, ABD federal kurumlarının ağlarındaki savunmasız Linux cihazlarına yama yapması için 12 Aralık’a kadar süreleri var.

Ayrıca bakınız: CISO’ların Krizi Atlatmalarına Yönelik 10 Kemer Sıkma İpucu

Siber Güvenlik ve Altyapı Güvenliği Ajansı, Salı günü CVE-2023-4911 olarak takip edilen “Looney Tunables” güvenlik açığını bilinen güvenlik açıkları kataloğuna ekledi ve federal sivil şube kurumlarına, hükümet ağlarını aktif tehditlere karşı korumak için yama indirmeleri yönünde yetki verdi.

Looney Tunables kusuru ilk olarak Ekim ayında ortaya çıktı ve Money Libra olarak da bilinen Kinsing tehdit aktörleri daha sonra bunu kötü amaçlı yazılım saldırılarıyla bulut ortamlarını hedeflemek için kullandı. Araştırmacılar, Linux’ta çalıştırılabilir ve bağlantı formatındaki bir kötü amaçlı yazılım programı olan Kinsing’in, kripto para birimi madenciliği için konteynerleştirilmiş ortamlara karşı kullanıldığını tespit etti.

Red Hat araştırmacıları, güvenlik açığının C programlama dili standart kütüphanesinin açık kaynaklı bir uygulaması olan GNU C Kütüphanesinden kaynaklandığını söyledi. Kusur özellikle GLIBC_TUNABLES adı verilen çevresel değişkeni etkiledi. Tehdit aktörleri bu güvenlik açığını kullanarak bir arabellek taşması başlatabilir, değişkeni tahsis edilen alanı aşan verilerle doldurabilir ve bunun sonucunda sistemlere yetkisiz erişime ve yükseltilmiş ayrıcalıklarla kod yürütülmesine izin verebilir. Kinsing tehdit aktörleri, kötü amaçlı GLIBC_TUNABLES oluşturur ve herhangi bir kullanıcı etkileşimi olmadan sistemler genelinde basit saldırılar gerçekleştirir.

Tehdit grubu, son saldırılarda Debian, Gentoo, Red Hat ve Ubuntu dahil olmak üzere büyük Linux dağıtımlarını hedeflemek için Looney Tunables kusurundan yararlandı. Aqua Security, bir blog yazısında Kinsing tehdit aktörünün diğerlerinin yanı sıra Kubernetes kümeleri ve liman işçisi API’sinin yanı sıra Redis ve Jenkins sunucuları gibi bulutta yerel ortamlara “önemli bir tehdit” oluşturduğunu söyledi.

CISA, özel sektör kuruluşlarını da Looney Tunables güvenlik açığına karşı yamalar uygulamaya çağırdı ve bilinen istismarların “kötü niyetli siber aktörler için sık sık saldırı vektörleri olduğu” uyarısında bulundu.

Bulut güvenlik araştırmacıları, güvenlik firması Sandfly Security’nin Log4j istismarını kullanan kripto madencilerini gözlemlediği 2021’den bu yana kötü amaçlı yazılım programını ve Kinsing tehdit aktörlerini takip ediyor.

Aqua Security ayrıca Kinsing tehdit aktörlerinin genellikle “kripto para madenciliği temel hedefiyle tam otomatik saldırılara” giriştiklerini ancak araştırmacıların son zamanlarda operatörlerinin “olağan çalışma yöntemlerinden bir sapma” olarak manuel testler yürüttüklerini gözlemlediklerini de ekledi.





Source link