siber-1
Aqua Nautilus’a göre, bu son saldırı turundaki hedefler tanıdık olsa da, Kinsing üyelerinin Looney Tunables’ı manuel olarak incelemesi, grubun olağan işleyiş tarzından bir sapma ”
Kinsing İçin Stratejik Bir DeğişimKinsing grubu, genellikle son zamanlardaki güvenlik açıklarından ve buluttaki yanlış yapılandırmalardan yararlanarak, başta Kubernetes kümeleri, Docker API, Redis sunucuları, Jenkins sunucuları ve daha fazlası olmak üzere konteynerlere ve bulutta yerel ortamlara yönelik devam eden bir tehdit olarak biliniyor
Aqua Nautilus, başarılı bir saldırıda çalınabilecek veri türlerinin şunları içerebileceği konusunda uyardı:
- Geçici Güvenlik Kimlik Bilgileri: İlgili rolün geniş izinlere sahip olması durumunda bunlar AWS kaynaklarına tam erişim sağlayabilir;
- IAM Rolü Kimlik Bilgileri: bunlar, örneğe ve üzerinde çalışan tüm uygulamalara, diğer AWS hizmetleriyle etkileşim kurma izinleri vermek için kullanılır;
- Örnek Kimlik Belirteçleri: Bunlar, AWS hizmetleriyle etkileşimde bulunurken örneğin kimliğini kanıtlamak ve API isteklerini imzalamak için kullanılır – ve sonuçta kimlik bilgileri ve sır hırsızlığı gerçekleştirin ”
Qualys’in güvenlik açığı ve tehdit araştırması yöneticisi Saeed Abbasi, geliştirmenin bulut güvenlik ekipleri ve yöneticilerinin derhal harekete geçmesini teşvik etmesi gerektiğini belirtti Buradan, ayrıcalık yükseltme amacıyla Looney Tunables hatasını bulmak ve bu hatadan yararlanmak için manuel olarak hazırlanmış kabuk komutlarını kullanırlar
Aqua Nautilus araştırmacıları, manuel deneme yanılma testinin “Kinsing’in, özellikle bulut tabanlı ortamları hedef alarak otomatik saldırılarının kapsamını genişletmeye yönelik kötü niyetinin” öncüsü olduğu konusunda uyardı açık kaynak işletim sisteminin (OS)
“Tehdit aktörünün manuel çabalarını ortaya çıkardık [carry out attacks]Güvenlik firmasının 3 Kasım’da yayınladığı bir uyarıya göre, “Bu, bildiğimiz kadarıyla böyle bir istismarın belgelenen ilk örneğini işaret ediyor
Ve bu, bulut saldırısı uzman grubu için taktiklerde endişe verici bir dönüm noktasını temsil ediyor ”
Şunu belirtti: “… hızlı ve kararlı önlemler kritik öneme sahiptir; yama uygulamak, kimlik bilgilerini güvence altına almak, yapılandırmaları izlemek ve algılama yeteneklerini geliştirmek yalnızca tavsiye edilmekle kalmaz, aynı zamanda sistemin tamamen tehlikeye atılmasına yol açabilecek potansiyel ihlalleri savuşturmak için de gereklidir
Aqua Nautilus’tan araştırmacılar, çoğu büyük dağıtımda kullanılan yaygın olarak kullanılan GNU C Kütüphanesi’nde (glibc) ayrıcalık yükseltmeye yönelik bir arabellek taşması kusuru olan hatayı (CVE-2023-4911, CVSS 7 “Bulut altyapılarına yönelik agresif saldırılarıyla bilinen Kinsing tehdit aktörünün aktif istismarı, tehdit düzeyini artırıyor
Araştırmacılar, yakın zamanda açıklanan ve siber saldırganların milyonlarca Linux sisteminde kök ayrıcalıkları elde etmesine olanak tanıyan “Looney Tunables” güvenlik açığına yönelik bir istismarın, Kinsing siber suç grubunun bulut sunucularına yönelik saldırılarda dolaştığı konusunda uyarıyor
Bu yeni hamle, Kinsing’in yakın zamanda daha çeşitli ve yoğun faaliyetler yapmayı planlayabileceğini gösteriyor ki bu da “stratejik bir değişim” anlamına geliyor [that] yaklaşımlarında önemli bir gelişmeye işaret ediyor Geçmişte Kinsing, birincil hedefi kripto korsanlığı olan tam otomatik saldırıları uygulamaya koymadan önce genellikle hedeflenen bir bulut örneğine ilk erişim elde ediyordu 8) kullanarak Kinsing’in bulut ortamlarına yönelik deneysel saldırılarını işaretlediler ”
Bulut Hizmet Sağlayıcısının Sırlarını ÇalmakKinsing saldırganları, bilinen bir PHPUnit güvenlik açığı (CVE-2017-9841) aracılığıyla ilk erişimi sağladıktan sonra, 1337 numaralı bağlantı noktasında bir ters kabuk açarlar
E-postayla gönderdiği açıklamada, “Looney Tunables güvenlik açığı, milyonlarca Linux sistemi üzerinde yaygın etkileri olan acil ve ciddi bir güvenlik riski sunuyor” dedi