Kinsing-Akteure zielen auf Cloud-Umgebungen und nutzen Looney Tunables aus
Kürzlich gab es eine besorgniserregende Entwicklung in der Welt der Cloud-Sicherheit. Eine Gruppe von Bedrohungsakteuren, die mit Kinsing in Verbindung steht, hat es aktiv auf Cloud-Umgebungen abgesehen. Dazu nutzen sie eine kürzlich bekannt gewordene Schwachstelle in Linux, die eine Ausweitung der Privilegien ermöglicht (Looney Tunables).
In ihrer neuen experimentellen Kampagne zum Einbruch in Cloud-Umgebungen machen diese Bedrohungsakteure nicht nur vor den Looney Tunables halt. Sie haben ihre Taktik erweitert, indem sie Anmeldeinformationen von Cloud Service Providern (CSPs) extrahieren, wie das Cloud-Sicherheitsunternehmen Aqua berichtet. Dies ist ein deutlicher Unterschied zu ihrer üblichen Vorgehensweise, bei der sie Kinsing-Malware einsetzen und Kryptowährungs-Mining betreiben.
Looney Tunables, verfolgt als CVE-2023-4911, ist eine Pufferüberlaufschwachstelle in glibc, die es einem Bedrohungsakteur ermöglichen könnte, Root-Rechte zu erlangen. Dies ist der erste dokumentierte Fall einer aktiven Ausnutzung dieser Sicherheitslücke.
Die Bedrohungsakteure sondieren die Umgebung des Opfers manuell nach Looney Tunables, indem sie einen Python-basierten Exploit verwenden, der von einem als bl4sty bekannten Forscher veröffentlicht wurde. Sobald er identifiziert ist, setzt Kinsing einen zusätzlichen PHP-Exploit ein. Dieser Exploit ist zunächst verborgen, aber nach der Entschleierung stellt sich heraus, dass es sich um einen JavaScript-Code handelt, der für weitere Exploitation-Aktivitäten gedacht ist.
Der JavaScript-Code fungiert als Web-Shell und ermöglicht einen Backdoor-Zugang zum angegriffenen Server. Dieser Backdoor-Zugang ermöglicht es den Hackern, Aufgaben wie Dateiverwaltung und Befehlsausführung durchzuführen und weitere Informationen über den Zielcomputer zu sammeln.
Schlussfolgerung: Absicherung von Cloud-Umgebungen
Das ultimative Ziel dieses Angriffs scheint die Extraktion von Anmeldeinformationen zu sein, die mit dem Cloud-Service-Provider verbunden sind, was eine deutliche Veränderung der Taktik dieser Bedrohungsakteure signalisiert. Anstatt sich nur auf das Mining von Kryptowährungen zu konzentrieren, suchen sie aktiv nach sensiblen Informationen.
Der Sicherheitsforscher Assaf Morag merkte an, dass diese jüngste Entwicklung auf eine potenzielle Ausweitung ihres Einsatzbereichs hindeutet, was in naher Zukunft eine erhöhte Bedrohung für Cloud-native Umgebungen darstellen könnte. Unternehmen müssen wachsam bleiben und Maßnahmen ergreifen, um ihre Cloud-Umgebungen vor diesen sich entwickelnden Bedrohungen zu schützen.
Der Schutz Ihrer Cloud-Systeme vor sich entwickelnden Bedrohungen ist in der heutigen digitalen Landschaft entscheidend. Eine wirksame Strategie zur Verbesserung Ihrer Abwehrmechanismen ist die Implementierung von Live-Patching. Mit diesem Ansatz können Sie Sicherheits-Patches nahtlos anwenden und den Schutz Ihrer Cloud-Infrastrukturen gewährleisten, ohne dass es zu Unterbrechungen kommt oder Wartungsfenster erforderlich sind.
KernelCare Enterprise von TuxCare ist ein automatisiertes Sicherheits-Patching-Tool zur Rationalisierung des Schwachstellenmanagements. Mit KernelCare Enterprise können Ihre Systeme automatisch gepatcht werden, ohne dass es zu Neustarts oder patchingbedingten Ausfallzeiten kommt.
Vereinbaren Sie einen Gesprächstermin mit einem TuxCare Linux-Sicherheitsexperten, um KernelCare Enterprise für die Sicherheit Ihrer Cloud-Infrastruktur zu nutzen.
Zu den Quellen für diesen Artikel gehört ein Artikel von TheHackerNews.