Araştırmacılar, yakın zamanda açıklanan ve siber saldırganların milyonlarca Linux sisteminde kök ayrıcalıkları elde etmesine olanak tanıyan “Looney Tunables” güvenlik açığına yönelik bir istismarın, Kinsing siber suç grubunun bulut sunucularına yönelik saldırılarda dolaştığı konusunda uyarıyor.
Ve bu, bulut saldırısı uzman grubu için taktiklerde endişe verici bir dönüm noktasını temsil ediyor.
Aqua Nautilus’tan araştırmacılar, çoğu büyük dağıtımda kullanılan yaygın olarak kullanılan GNU C Kütüphanesi’nde (glibc) ayrıcalık yükseltmeye yönelik bir arabellek taşması kusuru olan hatayı (CVE-2023-4911, CVSS 7.8) kullanarak Kinsing’in bulut ortamlarına yönelik deneysel saldırılarını işaretlediler. açık kaynak işletim sisteminin (OS)
“Tehdit aktörünün manuel çabalarını ortaya çıkardık [carry out attacks]Güvenlik firmasının 3 Kasım’da yayınladığı bir uyarıya göre, “Bu, bildiğimiz kadarıyla böyle bir istismarın belgelenen ilk örneğini işaret ediyor.”
Qualys’in güvenlik açığı ve tehdit araştırması yöneticisi Saeed Abbasi, geliştirmenin bulut güvenlik ekipleri ve yöneticilerinin derhal harekete geçmesini teşvik etmesi gerektiğini belirtti.
E-postayla gönderdiği açıklamada, “Looney Tunables güvenlik açığı, milyonlarca Linux sistemi üzerinde yaygın etkileri olan acil ve ciddi bir güvenlik riski sunuyor” dedi. “Bulut altyapılarına yönelik agresif saldırılarıyla bilinen Kinsing tehdit aktörünün aktif istismarı, tehdit düzeyini artırıyor.”
Şunu belirtti: “… hızlı ve kararlı önlemler kritik öneme sahiptir; yama uygulamak, kimlik bilgilerini güvence altına almak, yapılandırmaları izlemek ve algılama yeteneklerini geliştirmek yalnızca tavsiye edilmekle kalmaz, aynı zamanda sistemin tamamen tehlikeye atılmasına yol açabilecek potansiyel ihlalleri savuşturmak için de gereklidir.”
Bulut Hizmet Sağlayıcısının Sırlarını Çalmak
Kinsing saldırganları, bilinen bir PHPUnit güvenlik açığı (CVE-2017-9841) aracılığıyla ilk erişimi sağladıktan sonra, 1337 numaralı bağlantı noktasında bir ters kabuk açarlar. Buradan, ayrıcalık yükseltme amacıyla Looney Tunables hatasını bulmak ve bu hatadan yararlanmak için manuel olarak hazırlanmış kabuk komutlarını kullanırlar. – ve sonuçta kimlik bilgileri ve sır hırsızlığı gerçekleştirin.
Aqua Nautilus, başarılı bir saldırıda çalınabilecek veri türlerinin şunları içerebileceği konusunda uyardı:
- Geçici Güvenlik Kimlik Bilgileri: İlgili rolün geniş izinlere sahip olması durumunda bunlar AWS kaynaklarına tam erişim sağlayabilir;
- IAM Rolü Kimlik Bilgileri: bunlar, örneğe ve üzerinde çalışan tüm uygulamalara, diğer AWS hizmetleriyle etkileşim kurma izinleri vermek için kullanılır;
- Örnek Kimlik Belirteçleri: Bunlar, AWS hizmetleriyle etkileşimde bulunurken örneğin kimliğini kanıtlamak ve API isteklerini imzalamak için kullanılır.
Bu yeni hamle, Kinsing’in yakın zamanda daha çeşitli ve yoğun faaliyetler yapmayı planlayabileceğini gösteriyor ki bu da “stratejik bir değişim” anlamına geliyor [that] yaklaşımlarında önemli bir gelişmeye işaret ediyor.”
Kinsing İçin Stratejik Bir Değişim
Kinsing grubu, genellikle son zamanlardaki güvenlik açıklarından ve buluttaki yanlış yapılandırmalardan yararlanarak, başta Kubernetes kümeleri, Docker API, Redis sunucuları, Jenkins sunucuları ve daha fazlası olmak üzere konteynerlere ve bulutta yerel ortamlara yönelik devam eden bir tehdit olarak biliniyor.
Aqua Nautilus’a göre, bu son saldırı turundaki hedefler tanıdık olsa da, Kinsing üyelerinin Looney Tunables’ı manuel olarak incelemesi, grubun olağan işleyiş tarzından bir sapma. Geçmişte Kinsing, birincil hedefi kripto korsanlığı olan tam otomatik saldırıları uygulamaya koymadan önce genellikle hedeflenen bir bulut örneğine ilk erişim elde ediyordu.
Aqua Nautilus araştırmacıları, manuel deneme yanılma testinin “Kinsing’in, özellikle bulut tabanlı ortamları hedef alarak otomatik saldırılarının kapsamını genişletmeye yönelik kötü niyetinin” öncüsü olduğu konusunda uyardı.