Οι διαχειριστές του κακόβουλου λογισμικού Kinsing στοχεύουν περιβάλλοντα cloud σε ευάλωτα στο “Looney Tunables” συστήματα, ένα πρόβλημα ασφαλείας στο Linux που αναγνωρίζεται ως CVE-2023-4911 και επιτρέπει σε έναν τοπικό επιτιθέμενο να αποκτήσει δικαιώματα root στο σύστημα.
Δείτε επίσης: GNOME Linux: Εκτίθενται σε επιθέσεις RCE μέσω λήψης αρχείων
Το Looney Tunables είναι ένα πρόβλημα υπερχείλισης προσωρινής μνήμης στον δυναμικό φορτωτή (ld.so) του glibc, το οποίο εισήχθη στην έκδοση glibc 2.34 τον Απρίλιο του 2021, αλλά έγινε γνωστό στις αρχές Οκτωβρίου του 2023. Λίγες μέρες μετά τη δημοσίευση, PoC έγιναν διαθέσιμα δημόσια.
Σε μία αναφορά από την εταιρεία ασφάλειας cloud Aqua Nautilus, οι ερευνητές περιγράφουν μια επίθεση κακόβουλου λογισμικού Kinsing, όπου ο κακόβουλος παράγοντας εκμεταλλεύτηκε το CVE-2023-4911 για να αναβαθμίσει τα δικαιώματα σε μια παραβιασμένη μηχανή.
Το Kinsing είναι γνωστό για την παραβίαση συστημάτων που βασίζονται στο cloud και των εφαρμογών πάνω τους (π.χ. Kubernetes, Docker APIs, Redis και Jenkins) για να εγκαταστήσει λογισμικό cryptomining. Πρόσφατα, η Microsoft παρατήρησε ότι στοχεύουν Kubernetes clusters μέσω εσφαλμένα διαμορφωμένων δοχείων PostgreSQL.
Οι ερευνητές του Aqua Nautilus αναφέρουν ότι η επίθεση ξεκινά με την εκμετάλλευση μιας γνωστής ευπαθείας στο πλαίσιο δοκιμών PHP ‘PHPUnit’ για να κατακτήσουν έναν βασικό κώδικα εκτέλεσης, ακολουθούμενο από την ενεργοποίηση του σφάλματος “Looney Tunables” για να αποκτήσουν περισσότερα δικαιώματα.
“Χρησιμοποιώντας μια απλή αλλά τυπική εκμετάλλευση ευπαθειών στο PHPUnit, μια συνιστώσα της συνεχιζόμενης επίθεσης Kinsing, ανακαλύψαμε τις χειρωνακτικές προσπάθειες του δράστη για να καταχραστεί το Looney Tunables“, αναφέρει η έκθεση Aqua Nautilus.
Δείτε ακόμα: Looney Tunables: Linux bug δίνει πρόσβαση διαχειριστή σε κύριες διανομές
Η εκμετάλλευση της ευπάθειας του PHPUnit (CVE-2017-9841) οδηγεί στο άνοιγμα ενός αντίστροφου κελύφους στη θύρα 1337 στο παραβιασμένο σύστημα, το οποίο οι χειριστές του Kinsing εκμεταλλεύονται για να εκτελέσουν εντολές αναγνώρισης όπως ‘uname -a‘ και ‘passwrd‘. Επιπρόσθετα, οι επιτιθέμενοι αποθέτουν ένα σενάριο με το όνομα “gnu-acme.py” στο σύστημα, το οποίο εκμεταλλεύεται το CVE-2023-4911 για ανύψωση προνομίων. Η εκμετάλλευση για το Looney Tunables ανακτήθηκε απευθείας από το αποθετήριο του ερευνητή που δημοσίευσε ένα PoC, πιθανώς για να κρύψει τα ίχνη του.
Οι επιτιθέμενοι κατεβάζουν επίσης ένα PHP script, το οποίο εγκαθιστά ένα web shell backdoor με JavaScript (‘wesobase.js’) που υποστηρίζει τα επόμενα στάδια της επίθεσης. Συγκεκριμένα, το backdoor παρέχει στους επιτιθέμενους τη δυνατότητα να εκτελούν εντολές, να πραγματοποιούν ενέργειες διαχείρισης αρχείων, να συλλέγουν πληροφορίες για το δίκτυο και τον διακομιστή, και να εκτελούν λειτουργίες κρυπτογράφησης/αποκρυπτογράφησης.
Τελικά, tο Kinsing έδειξε ενδιαφέρον για τα διαπιστευτήρια του πάροχου υπηρεσιών στο cloud (CSP), ιδιαίτερα για την πρόσβαση στα δεδομένα ταυτότητας της AWS instance, την οποία η AquaSec χαρακτηρίζει ως μια σημαντική μετατόπιση προς πιο εξελιγμένες και επιζήμιες δραστηριότητες για τον εν λόγω απειλητικό παράγοντα.
Οι ερευνητές πιστεύουν ότι αυτή η καμπάνια ήταν ένα πείραμα, καθώς ο κακόβουλος παράγοντας βασίστηκε σε διαφορετικές τακτικές και επεκτάθηκε το πεδίο της επίθεσης για τη συλλογή διαπιστευτηρίων Παρόχων Υπηρεσιών Υπολογιστικού Cloud.
Δείτε επίσης: Windows 11: Προσθέτει υποστήριξη για 11 αρχεία αρχειοθέτησης
Υπάρχουν γνωστές περιπτώσεις και αναφορές για την εκμετάλλευση του Looney Tunables Linux bug. Οι εκμεταλλεύσεις αυτές έχουν καταγραφεί από ερευνητές και οργανισμούς ασφαλείας. Οι επιθέσεις που εκμεταλλεονται αυτό το σφάλμα μπορούν να οδηγήσουν σε αποκάλυψη ευαίσθητων πληροφοριών, αποκλεισμό του συστήματος ή ακόμη και στο να χάσει ο χρήστης τον έλεγχο του λογαριασμού του.
Οι εκμεταλλεύσεις του Looney Tunables Linux bug μπορεί να επιτεθούν σε διάφορους τομείς του συστήματος, όπως ο πυρήνας του Linux, οι δικαιώματα χρήστη, οι δικτυακές υπηρεσίες και άλλα. Οι επιθέσεις μπορούν να είναι εξαιρετικά επικίνδυνες και να προκαλέσουν σοβαρές απώλειες για τους χρήστες και τις επιχειρήσεις.
Οι εκμεταλλεύσεις του Looney Tunables Linux bug απαιτούν συνήθως πρόσβαση στο σύστημα με δικαιώματα υπερχρήστη (root), αλλά μπορεί να υπάρχουν και εκδοχές που επιτρέπουν επιθέσεις με περιορισμένα δικαιώματα χρήστη. Οι χρήστες πρέπει να είναι προσεκτικοί και να ενημερώνονται για τις ενημερώσεις ασφαλείας που κυκλοφορούν για το σύστημά τους.
Πηγή: bleepingcomputer
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/491633/looney-tunables-hackers-klevoun-diapisteftiria-cloud-sistima-linux/&media=https://www.secnews.gr/wp-content/uploads/2023/11/Looney-Tunables-διαπιστευτήρια-cloud-Linux.jpg&description=Οι διαχειριστές του κακόβουλου λογισμικού Kinsing στοχεύουν περιβάλλοντα cloud σε ευάλωτα στο "Looney Tunables" συστήματα.){kind=link}