Após a sua inclusão na lista KEV da CISA, as agências federais dos EUA tem de corrigir a falha Looney Tunables, até 12 de dezembro.
Apelidada de ‘Looney Tunables‘ pela Unidade de Pesquisa de Ameaças da Qualys (que descobriu o bug) e rastreada como CVE-2023-4911, esta vulnerabilidade de segurança é devido a uma fraqueza de buffer overflow no carregador dinâmico ld.so da Biblioteca GNU C.
A falha de segurança afeta os sistemas que executam as versões mais recentes de plataformas Linux amplamente utilizadas, incluindo Fedora, Ubuntu e Debian em suas configurações padrão.
Os administradores são cnvidados a corrigir os seus sistemas o mais rapidamente possível, visto que a vulnerabilidade está agora a ser ativamente explorada e várias explorações de prova de conceito (PoC) foram lançadas online desde a sua divulgação no início de outubro.
“Com a capacidade de fornecer acesso root completo em plataformas populares como Fedora, Ubuntu e Debian, é imperativo que os administradores de sistema atuem rapidamente”, alertou Saeed Abbasi da Qualys.
Agora, a CISA ordenou que as agências federais dos EUA protegessem seus sistemas contra uma vulnerabilidade explorada ativamente que permite que invasores obtenham privilégios de root em muitas das principais distribuições Linux.
Agências federais dos EUA tem de corrigir a falha Looney Tunables
A CISA também adicionou recentemente essa falha do Linux explorada ativamente ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas, incluindo-a em sua lista de “vetores de ataque frequentes para atores cibernéticos maliciosos” e representando “riscos significativos para a empresa federal”.
Após a sua inclusão na lista KEV da CISA, as Agências Federais do Poder Executivo Civil dos EUA (FCEB) devem corrigir dispositivos Linux em suas redes até 12 de dezembro, conforme exigido por uma diretiva operacional vinculativa (BOD 22-01) emitida há um ano.
Embora o BOD 22-01 tenha como alvo principal as agências federais dos EUA, a CISA também aconselhou todas as organizações (incluindo empresas privadas) a priorizar a correção imediata da falha de segurança do Looney Tunables.
Embora a CISA não tenha atribuído a exploração contínua do Looney Tunables, pesquisadores de segurança da empresa de segurança em nuvem Aqua Nautilus revelaram há duas semanas que os operadores de malware Kinsing estão usando a falha em ataques direcionados a ambientes em nuvem.
Os ataques começam com a exploração de uma vulnerabilidade conhecida na estrutura de testes PHP ‘PHPUnit’. Essa violação inicial permite que eles estabeleçam uma base de execução de código, seguida pelo aproveitamento do problema ‘Looney Tunables’ para aumentar seus privilégios.
Depois de obter acesso root aos dispositivos Linux comprometidos, os agentes de ameaças instalam um web shell JavaScript para acesso backdoor. Este shell permite executar comandos, gerenciar arquivos e realizar reconhecimento de rede e servidor.
O objetivo final dos invasores Kinsing é roubar credenciais de provedores de serviços em nuvem (CSP), visando acesso aos dados de identidade da instância AWS.
Kinsing é conhecido por violar e implantar sistemas baseados em nuvem de software de mineração de criptografia, incluindo Kubernetes, APIs Docker, Redis e Jenkins.
A Microsoft também observou recentemente o grupo visando clusters Kubernetes por meio de contêineres PostgreSQL mal configurados, enquanto a TrendMicro os detectou explorando o bug crítico CVE-2023-46604 Apache ActiveMQ para comprometer os sistemas Linux.