Bugün CISA, ABD federal ajanslarına, saldırganların birçok büyük Linux dağıtımında kök ayrıcalıkları kazanmalarını sağlayan aktif olarak sömürülen bir kırılganlığa karşı sistemlerini güvence altına almalarını emretti.
Qualys 'Tehdit Araştırma Birimi (hatayı keşfeden) tarafından' Looney Tunables 'olarak adlandırılan ve CVE-2023-4911 olarak izlenen bu güvenlik açığı, GNU C kütüphanesinin LD.O dinamik yükleyicisindeki bir tampon taşma zayıflığından kaynaklanmaktadır.
Güvenlik kusuru, Fedora, Ubuntu ve Debian dahil olmak üzere yaygın olarak kullanılan Linux platformlarının en son sürümlerini yürüten Sistemleri, varsayılan yapılandırmalarında etkiler.
Yöneticiler, güvenlik açığının aktif olarak kullanıldığını ve Ekim ayı başlarında açıklanmasından bu yana birkaç konsept (POC) istismarının çevrimiçi olarak piyasaya sürüldüğünü görerek sistemlerini mümkün olan en kısa sürede yamaya çağırılıyor.
Qualys 'Saeed Abbasi, "Fedora, Ubuntu ve Debian gibi popüler platformlarda tam kök erişim sağlama yeteneği ile sistem yöneticilerinin hızlı hareket etmesi zorunludur."
CISA ayrıca, "kötü niyetli siber aktörler için sık saldırı vektörleri" listesinde ve "federal işletme için önemli riskler" de dahil olmak üzere, bugün bilinen sömürülen güvenlik açıkları kataloğuna aktif olarak sömürülen Linux kusurunu ekledi.
CISA'nın KEV listesine dahil edilmesinin ardından, ABD Federal Sivil Yürütme Şube Ajansları (FCEB), bir yıl önce yayınlanan bir bağlayıcı operasyonel direktif (BOD 22-01) tarafından zorunlu kılındığı gibi 12 Aralık'a kadar Linux cihazlarını yama yapmalıdır.
BOD 22-01 öncelikle ABD federal ajanslarını hedef alsa da, CISA ayrıca tüm kuruluşlara (özel şirketler dahil) Looney Tunables güvenlik kusurunun hemen yamaya öncelik vermesini önerdi.
CISA, devam eden Looney Tunable sömürüsünü atfetmese de, bulut güvenlik şirketi Aqua Nautilus ile güvenlik araştırmacıları iki hafta önce, kinsing kötü amaçlı yazılım operatörlerinin bulut ortamlarını hedefleyen saldırılarda kusurları kullandığını açıkladı.
Saldırılar, PHP test çerçevesi 'Phpunit' içindeki bilinen bir güvenlik açığından yararlanmakla başlar. Bu ilk ihlal, bir kod yürütme tabanı oluşturmalarını sağlar ve ardından ayrıcalıklarını yükseltmek için 'Looney Tunables' sorunundan yararlanır.
Meydan okulu Linux cihazlarına kök erişimi kazandıktan sonra, tehdit aktörleri arka kapı erişimi için bir JavaScript web kabuğu kurarlar. Bu kabuk, komutları yürütmelerine, dosyaları yönetmelerine ve ağ ve sunucu keşfi yapmalarına olanak tanır.
Kinsing saldırganlarının nihai hedefi, AWS örneği kimlik verilerine erişmeyi amaçlayan bulut servis sağlayıcısı (CSP) kimlik bilgilerini çalmaktır.
Kinsing, Kubernetes, Docker API'leri, Redis ve Jenkins dahil olmak üzere kripto madenciliği yazılımı bulut tabanlı sistemleri ihlal etmek ve dağıtmakla bilinir.
Microsoft ayrıca yakın zamanda Kubernetes kümelerini yanlış yapılandırılmış PostgreSQL kapları yoluyla hedefleyen grubu gözlemlerken, trendmicro onları Linux sistemlerini tehlikeye atmak için kritik CVE-2023-46604 Apache Activemq hatasını kullandıklarını tespit etti.
Büyük Dağıtımlarda Kök Veren Linux Kususu için Serbest Yardım
Yeni 'Looney Tunables' Linux hatası büyük dağıtımlarda kök veriyor
Hackerlar looney tunable
Kinsing kötü amaçlı yazılımlar, kök skitleri dikmek için apache Activemq RCE'yi sömürüyor
Cisa aktif olarak sömürülen Windows, Sophos ve Oracle Bugs konusunda uyarıyor
Kaynak: Bleeping Computer