Hoje, a CISA ordenou que as agências federais dos EUA protegessem seus sistemas contra uma vulnerabilidade ativamente explorada que permite aos atacantes obter privilégios de root em muitas das principais distribuições do Linux.
Apelidada de 'Looney Tunables' pela Unidade de Pesquisa de Ameaças da Qualys (quem descobriu o bug) e rastreada como
CVE-2023-4911
, esta vulnerabilidade de segurança se deve a uma falha de estouro de buffer na biblioteca GNU C Library's ld.so dynamic loader.
A falha de segurança afeta sistemas rodando as versões mais recentes das plataformas Linux mais usadas, incluindo Fedora, Ubuntu e Debian em suas configurações padrão.
Os administradores são instados a aplicar patches em seus sistemas o mais rápido possível, visto que a vulnerabilidade agora é ativamente explorada e vários exploits de prova de conceito (PoC) foram lançados online desde a sua divulgação no início de outubro.
“Com a capacidade de fornecer acesso total de root em plataformas populares como Fedora, Ubuntu e Debian, é imperativo que os administradores de sistema ajam rapidamente”, alertou Saeed Abbasi da Qualys.
A CISA também adicionou a falha do Linux explorada ativamente ao seu catálogo de vulnerabilidades exploradas conhecidas hoje, incluindo-a em sua lista de "vetores de ataque frequentes para atores cibernéticos maliciosos" e representando "riscos significativos para a empresa federal".
Após sua inclusão na lista KEV da CISA, a Federal Civilian Executive Branch Agencies (FCEB) dos EUA deve corrigir os dispositivos Linux em suas redes até 12 de dezembro, conforme determinado por uma diretiva operacional vinculativa (BOD 22-01) emitida um ano atrás.
Embora o BOD 22-01 seja direcionado principalmente a agências federais dos EUA, a CISA também recomendou que todas as organizações (incluindo empresas privadas) priorizem a correção da falha de segurança Looney Tunables imediatamente.
Embora a CISA não tenha atribuído a exploração contínua de Looney Tunables, pesquisadores de segurança da empresa de segurança em nuvem Aqua Nautilus revelaram duas semanas atrás que os operadores de malware Kinsing estão usando a falha em ataques direcionados a ambientes em nuvem.
Os ataques começam explorando uma vulnerabilidade conhecida no framework de testes do PHP 'PHPUnit'.
Essa violação inicial permite que eles estabeleçam uma posição de execução de código, seguida pela exploração do problema 'Looney Tunables' para aumentar seus privilégios.
Após obter acesso root a dispositivos Linux comprometidos, os atores de ameaças instalam um web shell JavaScript para acesso posterior.
Esta shell permite que eles executem comandos, gerenciem arquivos e conduzam reconhecimento de rede e servidor.
O objetivo final dos atacantes do Kinsing é roubar as credenciais do provedor de serviços em nuvem (CSP), visando o acesso aos dados de identidade da instância AWS.
O Kinsing é conhecido por violar sistemas baseados em cloud e implantar software de mineração de criptomoedas, incluindo Kubernetes, Docker APIs, Redis e Jenkins.
A Microsoft também observou recentemente o grupo mirando clusters Kubernetes através de contêineres PostgreSQL mal configurados, enquanto a TrendMicro os observou explorando o bug crítico
CVE-2023-46604
do Apache ActiveMQ para comprometer sistemas Linux.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...