Eine Gruppe von Cyberkriminellen nutzt eine Linux-Sicherheitslücke, bekannt als „Looney Tunables“ (CVE-2023-4911), um Cloud-Umgebungen anzugreifen, die es lokalen Angreifern ermöglicht, Root-Rechte auf dem System zu erlangen.
Die Schwachstelle, ein Buffer-Overflow im dynamischen Lader von glibc (ld.so), wurde mit glibc 2.34 im April 2021 eingeführt und im Oktober 2023 offengelegt. Kurz nach der Bekanntgabe wurden Proof-of-Concept (PoC)-Exploits öffentlich zugänglich.
Forscher des Cloud-Sicherheitsunternehmens Aqua Nautilus beschreiben in einem Bericht einen Angriff mit der Kinsing-Malware, bei dem der Angreifer CVE-2023-4911 ausnutzte, um die Berechtigungen auf einer kompromittierten Maschine zu erhöhen.
Kinsing ist dafür bekannt, Cloud-basierte Systeme und darauf laufende Anwendungen (wie Kubernetes, Docker APIs, Redis und Jenkins) zu kompromittieren und Krypto-Mining-Software zu implementieren. Kürzlich beobachtete Microsoft, wie sie Kubernetes-Cluster über falsch konfigurierte PostgreSQL-Container ins Visier nahmen.
Laut Aqua Nautilus beginnt der Angriff mit der Ausnutzung einer bekannten Schwachstelle im PHP-Testframework ‚PHPUnit‘, um einen Ausführungsanker zu setzen, gefolgt von der Auslösung des ‚Looney Tunables‘-Problems, um die Privilegien zu eskalieren.
„Unter Ausnutzung einer grundlegenden, jedoch typischen PHPUnit-Schwachstellen-Ausnutzungsattacke haben wir die manuellen Bemühungen des Angreifers aufgedeckt, die Looney Tunables-Schwachstelle zu manipulieren“, heißt es im Bericht von Aqua Nautilus.
Die Angreifer testeten den neuesten Angriff manuell, vermutlich um sicherzustellen, dass er wie erwartet funktioniert, bevor sie Skripte zur Automatisierung der Aufgabe entwickelten.
Das Ausnutzen der PHPUnit-Lücke (CVE-2017-9841) führt zum Öffnen einer umgekehrten Shell über Port 1337 auf dem kompromittierten System, die die Kinsing-Operatoren nutzen, um Erkundungsbefehle wie ‚uname -a‘ und ‚passwrd‘ auszuführen.
Zudem platzieren die Angreifer ein Skript namens ‚gnu-acme.py‘ auf dem System, das CVE-2023-4911 für die Erhöhung der Privilegien ausnutzt.
Das Exploit für Looney Tunables wird direkt aus dem Repository des Forschers bezogen, der einen PoC veröffentlicht hat, vermutlich um ihre Spuren zu verwischen. BleepingComputer informierte den Forscher über den Missbrauch, und dieser versprach, die böswillige Operation zu stören, indem er den direkten Link ersetzte.
Die Angreifer laden auch ein PHP-Skript herunter, das eine JavaScript-Webshell-Rücktür (‚wesobase.js‘) installiert, die die nachfolgenden Angriffsstufen unterstützt.
Insbesondere ermöglicht die Rücktür den Angreifern das Ausführen von Befehlen, Dateiverwaltungsfunktionen, das Sammeln von Informationen über das Netzwerk und den Server sowie Verschlüsselungs-/Entschlüsselungsfunktionen.
Letztlich zeigte Kinsing Interesse an den Zugangsdaten von Cloud-Service-Anbietern (CSP), insbesondere für den Zugriff auf AWS-Instanzidentitätsdaten, was AquaSec als bedeutende Hinwendung zu ausgeklügelteren und schädlicheren Aktivitäten für den betreffenden Bedrohungsakteur charakterisiert.
Die Forscher gehen davon aus, dass es sich bei dieser Kampagne um ein Experiment handelte, da der Bedrohungsakteur auf unterschiedliche Taktiken setzte und den Umfang des Angriffs auf das Sammeln von Cloud-Service-Anbieter-Zugangsdaten erweiterte.
