CISA orders federal agencies to patch Looney Tunables Linux bug
2023/11/21 BleepingComputer — Qualys の Saeed Abbasi は、「この脆弱性 CVE-2023-4911 の悪用により、Fedora/Ubuntu/Debian などのプラットフォームにおいて、完全な root アクセスが不正に取得されるため、システム管理者は迅速に行動すべきだ」と警告している。また、今日になって CISA は、この Linux の不具合を Known Exploited Vulnerabilities Catalog に追加した。さらに CISA は、この脆弱性を、悪意のサイバー行為が頻繁に発生する攻撃ベクターのリストに取り込み、連邦政府企業に重大なリスクが生じていることを指摘した。
CISA の KEV リストに掲載されたことを受け、U.S. Federal Civilian Executive Branch Agencies (FCEB) は、1年前に発行された拘束力のある業務指令 (BOD 22-01) が義務付けるとおり、12月12日までにネットワーク上の Linux デバイスにパッチを適用する必要がある。
BOD 22-01 は、主として米連邦政府機関を対象とするものだが、すべての組織 (民間企業も含む) に対して CISA は、Looney Tunables のセキュリティ欠陥に直ちにパッチ適用すべきだとは勧告している。
Kinsing マルウェア攻撃に悪用される
2週間前に、クラウド・セキュリティ企業 Aqua Nautilus のセキュリティ研究者たちは、クラウド環境を標的にした攻撃で、Kinsing マルウェアの運営者が、この Looney Tunables 欠陥 (CVE-2023-4911) を悪用していると公表した。ただし、CISA は、この問題の悪用が原因とはしていない。
この攻撃は、PHP のテスト・フレームワークである、PHPUnit 内の既知の脆弱性を悪用するところから始まる。この最初の侵入により、攻撃者たちはコード実行の足場を築き、その後に、脆弱性 Looney Tunables を悪用して特権をエスカレートさせる。
侵害した Linux デバイス上で root アクセスを獲得した後に、脅威アクターたちはバックドア・アクセスのための、JavaScript ウェブシェルをインストールする。このシェルにより可能になるのは、コマンド実行/ファイル/管理、ネットワークとサーバの偵察である。
Kinsing の最終的な目標は、クラウド・サービス・プロバイダー (CSP) の認証情報を盗み出し、AWS インスタンスの ID データへのアクセスを狙うことである。
Kinsing は、Kubernetes/Docker API/Redis/Jenkins などのクラウド・ベースのシステムを侵害し、暗号マイニング・ソフトウェアをデプロイすることで知られている。
先日に Microsoft は、このグループが、PostgreSQL コンテナのミスコンフィグレーションを介して、Kubernetes クラスタを標的にしていることを確認している。
また TrendMicro も、Linux システムを侵害するために、Apache ActiveMQ の深刻な脆弱性 CVE-2023-46604 が悪用されていることを発見している。
この Looney Tunables と呼ばれる脆弱性 CVE-2023-4911 は、Linux のバグだと解説されていますが、CISA KEV などでは GNU C Library (glibc) のバグだとされています。第一報は、2023/10/03 の「Looney Tunables という Linux の脆弱性:glibc に存在する危険なバッファ・オーバーフロー」ですが、その後に PoC エクスプロイトが登場し、クラウドを狙う脅威アクターにより兵器化されているようです。
IoT OT Security News 
You must be logged in to post a comment.