Bugün CISA, ABD federal kurumlarına sistemlerini, saldırganların birçok büyük Linux dağıtımında kök ayrıcalıkları elde etmesine olanak tanıyan aktif olarak yararlanılan bir güvenlik açığına karşı koruma altına almalarını emretti.
Qualys’in Tehdit Araştırma Birimi (hatayı keşfeden kişi) tarafından ‘Looney Tunables’ olarak adlandırılan ve CVE-2023-4911 olarak takip edilen bu güvenlik açığı, GNU C Kütüphanesinin ld.so dinamik yükleyicisindeki arabellek taşması zayıflığından kaynaklanmaktadır.
Güvenlik açığı, Fedora, Ubuntu ve Debian dahil olmak üzere yaygın olarak kullanılan Linux platformlarının en son sürümlerini varsayılan yapılandırmalarında çalıştıran sistemleri etkiliyor.
Yöneticilerin, güvenlik açığından artık aktif olarak yararlanıldığı ve Ekim başında açıklanmasından bu yana çeşitli kavram kanıtlama (PoC) açıklarının çevrimiçi olarak yayınlandığı göz önüne alındığında, sistemlerine mümkün olan en kısa sürede yama yapmaları isteniyor.
Qualys’ten Saeed Abbasi, “Fedora, Ubuntu ve Debian gibi popüler platformlarda tam kök erişimi sağlama yeteneği sayesinde sistem yöneticilerinin hızlı hareket etmesi zorunludur” diye uyardı.
CISA aynı zamanda aktif olarak istismar edilen Linux kusurunu bugün Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğu’na ekledi ve bunu “kötü niyetli siber aktörler için sık görülen saldırı vektörleri” listesine dahil etti ve “federal kuruluş için önemli riskler” oluşturdu.
CISA’nın KEV listesine dahil edilmesinin ardından, ABD Federal Sivil Yürütme Organı Ajansları (FCEB), bir yıl önce yayınlanan bağlayıcı bir operasyonel direktifin (BOD 22-01) zorunlu kıldığı şekilde, 12 Aralık’a kadar ağlarındaki Linux cihazlarına yama yapmak zorundadır.
BOD 22-01 öncelikle ABD federal kurumlarını hedef alsa da, CISA aynı zamanda tüm kuruluşlara (özel şirketler dahil) Looney Tunables güvenlik kusurunu derhal düzeltmeye öncelik vermelerini tavsiye etti.
Kinsing kötü amaçlı yazılım saldırılarında istismar edildi
CISA, devam eden Looney Tunables istismarını açıklamazken, bulut güvenlik şirketi Aqua Nautilus’un güvenlik araştırmacıları iki hafta önce Kinsing kötü amaçlı yazılım operatörlerinin bu kusuru bulut ortamlarını hedef alan saldırılarda kullandığını ortaya çıkardı.
Saldırılar, PHP test çerçevesi ‘PHPUnit’ içindeki bilinen bir güvenlik açığından yararlanılmasıyla başlar. Bu ilk ihlal, kod yürütmede bir dayanak oluşturmalarına ve ardından ayrıcalıklarını artırmak için ‘Looney Tunables’ sorununu kullanmalarına olanak tanıyor.
Tehdit aktörleri, ele geçirilen Linux cihazlarına root erişimi sağladıktan sonra arka kapı erişimi için bir JavaScript web kabuğu yükler. Bu kabuk, komutları yürütmelerine, dosyaları yönetmelerine ve ağ ve sunucu keşifleri yapmalarına olanak tanır.
Kinsing saldırganlarının nihai hedefi, bulut hizmeti sağlayıcısının (CSP) kimlik bilgilerini çalarak AWS bulut sunucusu kimlik verilerine erişim sağlamaktır.
Kinsing, Kubernetes, Docker API’leri, Redis ve Jenkins dahil olmak üzere kripto madenciliği yazılımı bulut tabanlı sistemlerini ihlal etmesi ve dağıtmasıyla biliniyor.
Microsoft ayrıca yakın zamanda grubun yanlış yapılandırılmış PostgreSQL kapsayıcıları aracılığıyla Kubernetes kümelerini hedef aldığını gözlemledi; TrendMicro ise onların Linux sistemlerini tehlikeye atmak için kritik CVE-2023-46604 Apache ActiveMQ hatasını kullandıklarını tespit etti.