Un nuovo allarme sicurezza colpisce gli ambienti cloud: il malware Kinsing sfrutta una vulnerabilità di Linux, nota come “Looney Tunables” (CVE-2023-4911), per ottenere privilegi di root sui sistemi vulnerabili. Questo bug di overflow del buffer, introdotto nella versione 2.34 di glibc nell’aprile 2021 e rivelato all’inizio di ottobre 2023, ha già visto la pubblicazione di exploit proof-of-concept (PoC) a pochi giorni dalla sua divulgazione.
Attacco mirato ai cluster Kubernetes
Kinsing, noto per le intrusioni in sistemi basati su cloud e per l’installazione di software di cryptomining tramite l’exploit di applicazioni come Kubernetes, Docker API, Redis e Jenkins, ha recentemente attirato l’attenzione di Microsoft per attacchi mirati ai cluster Kubernetes attraverso container PostgreSQL mal configurati.
Metodologia dell’attacco e conseguenze
L’attacco inizia con lo sfruttamento di una vulnerabilità nota nel framework di test PHP ‘PHPUnit’ (CVE-2017-9841) per ottenere un punto d’appoggio per l’esecuzione di codice, seguito dall’escalation di privilegi tramite il bug “Looney Tunables”. Gli aggressori utilizzano uno script chiamato ‘gnu-acme.py’ per elevarsi a privilegi di root, scaricando l’exploit direttamente dal repository del ricercatore che ha rilasciato il PoC, probabilmente per mascherare le loro tracce.
Implicazioni per i fornitori di servizi cloud
Il malware Kinsing mostra un interesse particolare per le credenziali dei fornitori di servizi cloud (CSP), in particolare per l’accesso ai dati di identità delle istanze AWS. Questo rappresenta un cambiamento significativo nelle attività del threat actor, indicando una mossa verso azioni più sofisticate e dannose.