A comunidade de segurança cibernética está em alerta máximo após a descoberta de que operadores do malware Kinsing estão ativamente visando ambientes de nuvem que apresentam vulnerabilidades ao “Looney Tunables”, uma falha crítica de segurança no Linux, conhecida como CVE-2023-4911. Esta vulnerabilidade permite que atacantes locais obtenham privilégios de root, comprometendo severamente a segurança do sistema.
Entendendo o “Looney Tunables”: Uma Brecha Grave no Linux
Identificado como um estouro de buffer no carregador dinâmico glibc (ld.so), o “Looney Tunables” foi introduzido na versão 2.34 do glibc em abril de 2021. A falha só veio a público em outubro de 2023, e rapidamente, exploits de prova de conceito (PoC) foram disponibilizados na internet, aumentando o risco de ataques.
O Modus Operandi do Malware Kinsing
Segundo um relatório detalhado da Aqua Nautilus, uma renomada empresa de segurança em nuvem, os pesquisadores observaram um ataque do malware Kinsing onde o CVE-2023-4911 foi explorado para elevar permissões em uma máquina comprometida. O Kinsing é notório por atacar sistemas baseados em nuvem e seus aplicativos, como Kubernetes, APIs do Docker, Redis e Jenkins, com o objetivo de implantar softwares de criptomineração. A Microsoft recentemente relatou que esses operadores estão mirando clusters do Kubernetes através de contêineres PostgreSQL configurados de maneira inadequada.
A Execução do Ataque
O ataque inicia com a exploração de uma vulnerabilidade no framework de teste PHP ‘PHPUnit’, permitindo aos atacantes um ponto de apoio inicial para execução de código. Em seguida, eles acionam o “Looney Tunables” para escalar privilégios. A Aqua Nautilus destaca que, diferentemente de ataques anteriores, os operadores do Kinsing realizaram testes manuais do exploit, indicando um esforço para assegurar a eficácia do ataque antes de automatizar o processo.
A Sequência de Exploração e Implantação
A exploração do PHPUnit (CVE-2017-9841) resulta na abertura de um shell reverso, permitindo que os operadores executem comandos de reconhecimento. Eles também implantam um script chamado ‘gnu-acme.py’, que utiliza o CVE-2023-4911 para a elevação de privilégios.
Curiosamente, o exploit para o “Looney Tunables” é obtido diretamente de um repositório público, uma tática provavelmente usada para ocultar as atividades maliciosas. Além disso, um script PHP é baixado para implantar um backdoor de web shell JavaScript, ‘wesobase.js’, que facilita a execução de comandos e coleta de informações sensíveis.
A Mudança Estratégica do Kinsing
O interesse do Kinsing nas credenciais dos provedores de serviços de nuvem (CSP), especialmente para acessar dados de identidade de instância da AWS, marca uma evolução significativa nas atividades do grupo. A AquaSec aponta que essa campanha pode ser um experimento, indicando uma mudança para táticas mais sofisticadas e um escopo ampliado de ataque, visando coletar credenciais de CSPs.
Um Chamado à Ação para a Segurança em Nuvem
Este recente desenvolvimento sublinha a importância de uma vigilância constante e de práticas robustas de segurança em nuvem. Organizações que utilizam infraestruturas baseadas em nuvem devem agir imediatamente para mitigar essas ameaças, atualizando sistemas e aplicando patches de segurança sem demora. A conscientização sobre essas vulnerabilidades e a resposta rápida são cruciais para proteger ativos digitais valiosos e manter a integridade dos sistemas de nuvem.
Sou um profissional na área de Tecnologia da informação, especializado em monitoramento de ambientes, Sysadmin e na cultura DevOps. Possuo certificações de Segurança, AWS e Zabbix.