‘Looney Tunables’ Glibc Vulnerability Exploited in Cloud Attacks
2023/11/06 SecurityWeek — 最近パッチが適用された GNU C Library (glibc) に存在する深刻な特権昇格の脆弱性が、Kinsing マルウェアの展開やクリプトジャッキング攻撃を操る脅威グループにより、クラウドへの攻撃で悪用されている。Looney Tunablesと名付けられた脆弱性 CVE-2023-4911 は、Debian/Gentoo/Red Hat/Ubuntu などの主要 Linux ディストリビューションに影響を及ぼすことが判明している。この脆弱性により、ローカル攻撃者は昇格した権限で、任意のコードを実行できるという。
クラウドセキュリティ企業 Aqua Security によると、Palo Alto Networks が Money Libra として追跡している、Kinsing マルウェアを操るグループが、最近の攻撃で脆弱性 Looney Tunables を悪用しているようだ。
Kinsing を操るグループは、コンテナ環境に Linux マルウェアを展開することで知られており、最終目的は暗号通貨マイナーの配信だとされる。この攻撃者は、Kubernetes/Docker/Jenkins/Redis サーバに大きな脅威を与えており、最近では、脆弱性 CVE-2023-32315 を悪用して、Openfire サーバを標的にしていることが確認されている。
Aqua Security が確認した最近の攻撃では、Kinsing はイニシャル・アクセスのために、PHPUnit の脆弱性 CVE-2017-9841 も悪用している。
その後に攻撃者は、手動でのテストを実施しているが、それは彼らの典型的な手口から逸脱するものだ。その目的には、システムへの root アクセスを取得するために、Looney Tunables の脆弱性を悪用する試みも含まれていたと推測される。つまり、この脅威アクターは、公開されている PoC エクスプロイトを悪用して、標的を拡大しているようだ。
イニシャル・アクセスに成功した脅威アクターは、サーバへのバックドア・アクセスを提供する追加スクリプトをダウンロードし、特にクラウド・サービス・プロバイダー (CSP) に関連する認証情報を取得していった。
Aqua Security は、「私たちが知る限り、この種の情報の収集を Kinsing が試みたのは初めてのことだ。以前の彼らは、主にマルウェアの拡散とクリプトマイナーの実行に重点を置き、競争相手を排除し、検出を回避することで、成功のチャンスを増やそうとしていた。 しかし、この新たな動きは、Kinsing が活動の拡大を計画している可能性を示している。特に、クラウド上で実行されるシステムやサービスにとって、大きなリスクが生じる可能性がある」と指摘している。
同社が推奨するのは、IoC (indicators of compromise) や MITRE ATT&CK マッピングなどを用いて、この種の攻撃に対して防止/検知の能力を高めることだ。
GNU C Library の脆弱性 CVE-2023-4911 ですが、このところ、あまりにもサイバー攻撃に関するニュースが多すぎて、2023/10/05 にポストした「GNU C Library の脆弱性 CVE-2023-4911:PoC エクスプロイトが登場し始めた」のことを忘れていました。しかし、脅威アクターたちは忘れていません。PHPUnit の脆弱性 CVE-2017-9841 とのチェーンで攻めてきているようです。ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.