Les acteurs de Kinsing ciblent les environnements Cloud en exploitant les Looney Tunables
Récemment, une évolution inquiétante s'est produite dans le monde de la sécurité de l'informatique en nuage. Un groupe d'acteurs menaçants liés à Kinsing s'attaque activement aux environnements en nuage. Pour ce faire, ils tirent parti d'une faille d'escalade des privilèges de Linux récemment divulguée, appelée Looney Tunables.
Dans leur nouvelle campagne expérimentale d'intrusion dans les environnements en nuage, ces acteurs de la menace ne s'arrêtent pas aux Looney Tunables. Ils ont élargi leurs tactiques en extrayant les informations d'identification des fournisseurs de services en nuage (CSP), comme l'a rapporté l'entreprise de sécurité en nuage Aqua. Il s'agit là d'un changement important par rapport à leurs habitudes, qui consistent à déployer le logiciel malveillant Kinsing et à lancer des opérations de minage de crypto-monnaie.
Looney Tunables, répertoriée sous le nom de CVE-2023-4911, est une vulnérabilité de débordement de mémoire tampon dans la glibc qui pourrait permettre à un acteur menaçant d'obtenir les privilèges de l'administrateur. Il s'agit du premier cas documenté d'exploitation active de cette vulnérabilité.
Les acteurs de la menace sondent manuellement l'environnement de la victime à la recherche de Looney Tunables à l'aide d'un exploit basé sur Python publié par un chercheur connu sous le nom de bl4sty. Une fois identifié, Kinsing déploie un exploit PHP supplémentaire. Initialement, cet exploit est dissimulé, mais après désobfuscation, il se révèle être un code JavaScript conçu pour d'autres activités d'exploitation.
Le code JavaScript fonctionne comme un shell web, fournissant un accès dérobé au serveur compromis. Cet accès permet aux pirates d'effectuer des tâches telles que la gestion de fichiers, l'exécution de commandes et la collecte d'informations supplémentaires sur la machine ciblée.
Conclusion : Sécuriser les environnements en nuage
L'objectif ultime de cette attaque semble être l'extraction des informations d'identification associées au fournisseur de services en nuage, ce qui marque un changement important dans les tactiques de ces acteurs de la menace. Au lieu de se concentrer uniquement sur le minage de crypto-monnaie, ils recherchent activement des informations sensibles.
Le chercheur en sécurité Assaf Morag a noté que ce développement récent suggère un élargissement potentiel de leur champ d'action, ce qui pourrait représenter une menace accrue pour les environnements natifs de l'informatique en nuage dans un avenir proche. Les entreprises doivent rester vigilantes et prendre des mesures pour protéger leurs environnements en nuage contre ces menaces en constante évolution.
Dans le paysage numérique actuel, il est essentiel de sécuriser vos systèmes en nuage contre les menaces en constante évolution. Une stratégie efficace pour améliorer vos mécanismes de défense consiste à mettre en œuvre des correctifs en direct (live patching). Cette approche vous permet d'appliquer des correctifs de sécurité de manière transparente, assurant ainsi la protection de vos infrastructures en nuage sans causer de perturbations ou nécessiter de fenêtres de maintenance.
KernelCare Enterprise de TuxCare est un outil de patching de sécurité automatisé qui rationalise la gestion des vulnérabilités. Avec KernelCare Enterprise, vos systèmes peuvent être automatiquement corrigés sans redémarrage ni temps d'arrêt liés aux correctifs.
Planifiez une conversation avec un expert en sécurité Linux de TuxCare pour commencer à utiliser KernelCare Enterprise pour la sécurité de votre infrastructure cloud.
Les sources de cet article comprennent un article de TheHackerNews.