Un exploit pour le récemment révélé Faille de sécurité « Looney Tunables »qui pourrait permettre aux cyberattaquants d’obtenir les privilèges root sur des millions de systèmes Linux, fait le tour des attaques sur les serveurs cloud du groupe de cybercriminalité Kinsing, préviennent les chercheurs.
Et cela représente un tournant tactique inquiétant pour le groupe de spécialistes des attaques cloud.
Des chercheurs d’Aqua Nautilus ont signalé les incursions expérimentales de Kinsing dans les environnements cloud à l’aide du bug (CVE-2023-4911, CVSS 7.8), qui est une faille de dépassement de tampon pour l’élévation de privilèges dans la bibliothèque GNU C (glibc) couramment utilisée dans la plupart des distributions majeures. du système d’exploitation (OS) open source.
« Nous avons découvert les efforts manuels des acteurs menaçants pour [carry out attacks] », selon une alerte de la société de sécurité publiée le 3 novembre. « Il s’agit du premier cas documenté d’un tel exploit, à notre connaissance. »
Saeed Abbasi, responsable de la recherche sur les vulnérabilités et les menaces chez Qualys, a noté que le développement devrait inciter les équipes et les administrateurs de sécurité du cloud à agir immédiatement.
« La vulnérabilité Looney Tunables présente un risque de sécurité urgent et grave avec des implications étendues sur des millions de systèmes Linux », a-t-il déclaré dans un communiqué envoyé par courrier électronique. « L’exploitation active par l’acteur malveillant Kinsing, connu pour ses attaques agressives contre les infrastructures cloud, augmente le niveau de menace. »
Il a noté que « … des mesures rapides et décisives sont essentielles ; l’application de correctifs, la sécurisation des informations d’identification, la surveillance des configurations et l’amélioration des capacités de détection ne sont pas seulement recommandées, mais essentielles pour parer aux violations potentielles qui pourraient conduire à une compromission complète du système. »
Voler les secrets des fournisseurs de services cloud
Une fois que les attaquants de Kinsing ont établi l’accès initial via une vulnérabilité PHPUnit connue (CVE-2017-9841), ils ouvrent un shell inversé sur le port 1337. À partir de là, ils utilisent des commandes shell conçues manuellement pour rechercher et exploiter le bogue Looney Tunables à des fins d’élévation de privilèges. – et, finalement, procéder au vol d’informations d’identification et de secrets.
Aqua Nautilus a averti que les types de données qui pourraient être volées lors d’une attaque réussie incluent :
- Informations d’identification de sécurité temporaires: ceux-ci peuvent fournir un accès complet aux ressources AWS si le rôle associé dispose d’autorisations étendues ;
- Identifiants du rôle IAM: ceux-ci sont utilisés pour accorder des autorisations à l’instance et à toutes les applications exécutées dessus pour interagir avec d’autres services AWS ;
- Jetons d’identité d’instance: ceux-ci sont utilisés pour prouver l’identité de l’instance lors de l’interaction avec les services AWS et pour signer les requêtes API.
Cette nouvelle décision montre que Kinsing pourrait bientôt envisager de mener des activités plus variées et plus intenses, ce qui constitue un « changement stratégique ». [that] marque une évolution significative dans leur approche. »
Un changement stratégique pour Kinsing
Le groupe Kinsing est connu comme un menace permanente pour les conteneurs et les environnements cloud natifsparticulièrement Clusters Kubernetesl’API Docker, les serveurs Redis, les serveurs Jenkins, etc., généralement en exploiter les vulnérabilités récentes et les mauvaises configurations du cloud.
Bien que les cibles de cette dernière série d’attaques soient familières, la recherche manuelle des Looney Tunables par les membres de Kinsing constitue un écart par rapport au modus operandi habituel du groupe, selon Aqua Nautilus. Dans le passé, Kinsing obtenait généralement un accès initial à une instance cloud ciblée avant de déployer des attaques entièrement automatisées avec le objectif principal du cryptojacking.
Les tests manuels par essais et erreurs sont un précurseur des « sinistres intentions de Kinsing d’élargir la portée de ses attaques automatisées, ciblant spécifiquement les environnements cloud natifs », ont averti les chercheurs d’Aqua Nautilus.
