'Looney Tunables' Glibc Güvenlik Açığı Bulut Saldırılarında Kullanıldı
Büyük Linux dağıtımlarını etkileyen ve Kinsing grubu tarafından bulut saldırılarında istismar edilen Looney Tunables olarak izlenen glibc güvenlik açığı.
Yakın zamanda GNU C Kütüphanesi'nde (glibc) yamalanan ciddi bir ayrıcalık yükseltme güvenlik açığı, Kinsing kötü amaçlı yazılımının kullanımı ve cryptojacking operasyonlarıyla bilinen bir tehdit grubu tarafından bulut saldırılarında kullanıldı.
CVE-2023-4911 olarak izlenen ve Looney Tunables olarak adlandırılan güvenlik açığının Debian, Gentoo, Red Hat ve Ubuntu dahil olmak üzere büyük Linux dağıtımlarını etkilediği tespit edildi. Yerel bir saldırganın yükseltilmiş ayrıcalıklarla rasgele kod yürütmesine izin verir.
Bulut güvenlik firması Aqua Security'ye göre, Palo Alto Networks tarafından Money Libra olarak izlenen Kinsing'in arkasındaki grup, son saldırılarda Looney Tunables güvenlik açığından yararlandı.
Kinsing grubu, Linux kötü amaçlı yazılımını konteyner ortamlarına dağıtmasıyla biliniyor ve nihai hedefi kripto para madencilerinin teslimatı. Tehdit aktörü Kubernetes, Docker, Jenkins ve Redis sunucuları için önemli bir tehdit oluşturuyor ve yakın zamanda CVE-2023-32315 olarak izlenen bir güvenlik açığı aracılığıyla Openfire sunucularını hedef aldığı gözlemlendi.
Aqua Security tarafından görülen son saldırılarda, Kinsing bilgisayar korsanları, ilk erişim için CVE-2017-9841 olarak izlenen bir PHPUnit güvenlik açığından yararlandı.
Saldırganlar daha sonra manuel testler gerçekleştirdiler - bu, tipik çalışma biçimlerinden bir sapmayı temsil ediyor - ve bu, sisteme kök erişimi elde etmek için kullanılabilecek Looney Tunables güvenlik açığından yararlanma girişimlerini içeriyordu. Halka açık bir PoC istismarı kullanarak kusuru hedef aldılar.
Bilgisayar korsanları daha sonra sunucuya arka kapı erişimi sağlayan ve özellikle Bulut Hizmeti Sağlayıcısı (CSP) ile ilişkili kimlik bilgileri olmak üzere bilgi edinmelerini sağlayan ek komut dosyaları indirdi.
Aqua Security, "Bildiğimiz kadarıyla, Kinsing ilk kez bu tür bilgileri toplamaya çalıştı" dedi. "Daha önce, çoğunlukla kötü amaçlı yazılımlarını yaymaya ve bir kripto madencisi çalıştırmaya odaklandılar, genellikle rekabeti ortadan kaldırarak veya tespit edilmekten kaçınarak başarılı olma şanslarını artırmaya çalıştılar. Ancak bu yeni hamle, Kinsing'in yakında daha çeşitli ve yoğun faaliyetler yapmayı planlayabileceğini gösteriyor, bu da bulutta çalışan sistemler ve hizmetler için daha büyük bir risk anlamına gelebilir."
Güvenlik firması, güvenlik ihlali göstergelerini (IoC'ler), MITRE ATT&CK eşlemesini ve bu tür saldırıları önleme ve tespit etme önerilerini paylaştı.
Benzer Haberler
Cisco, Public PoC Exploit Release'den Sonra ISE Güvenlik Açığı Yamaları Düzeltti
CISA, 2019 ile 2024 yılları arasında yayımlanan 10 acil siber güvenlik direktifini emekliye kaldırdı
Çin Bağlantılı Hackerlar, VMware ESXi Zero-Days Uygulamasını Kullanarak Sanal Makinelerden Kaçtı
Cracked yazılımlar ve YouTube videoları CountLoader ve GachiLoader Zararlı Yazılımını Yaydı
Rusya Bağlantılı Hackerlar, Hesap Ele Geçirmeleri İçin Microsoft 365 Cihaz Kodu Oltalaması Kullanıyor
Google Project Zero Researcher, Samsung Cihazlarını Hedefleyen Sıfır Tıklama İstismarını Ortaya Çıkardı
SonicWall, Palo Alto Expedition ve Aviatrix denetleyicilerinde önemli güvenlik açıkları düzeltildi
Yeni Banshee Stealer Varyantı, Apple'ın XProtect'ten İlham Alan Şifrelemesi ile Antivirüsü Atlıyor