Aujourd’hui, la CISA a ordonné aux agences fédérales américaines de sécuriser leurs systèmes contre une vulnérabilité activement exploitée qui permet aux attaquants d’obtenir les privilèges root sur de nombreuses distributions Linux majeures.
Surnommée « Looney Tunables » par l’unité de recherche sur les menaces de Qualys (qui a découvert le bug) et suivie comme CVE-2023-4911, cette vulnérabilité de sécurité est due à une faiblesse de dépassement de tampon dans le chargeur dynamique ld.so de la bibliothèque GNU C.
La faille de sécurité affecte les systèmes exécutant les dernières versions des plates-formes Linux largement utilisées, notamment Fedora, Ubuntu et Debian dans leurs configurations par défaut.
Les administrateurs sont invités à corriger leurs systèmes dès que possible, car la vulnérabilité est désormais activement exploitée et plusieurs exploits de preuve de concept (PoC) ont été publiés en ligne depuis sa divulgation début octobre.
« Avec la capacité de fournir un accès root complet sur des plates-formes populaires telles que Fedora, Ubuntu et Debian, il est impératif que les administrateurs système agissent rapidement », a averti Saeed Abbasi de Qualys.
La CISA a également ajouté aujourd’hui la faille Linux activement exploitée à son catalogue de vulnérabilités exploitées connues, l’incluant dans sa liste de « vecteurs d’attaque fréquents pour les cyberacteurs malveillants » et posant « des risques importants pour l’entreprise fédérale ».
Suite à son inclusion dans la liste KEV de la CISA, les agences fédérales américaines du pouvoir exécutif civil (FCEB) doivent mettre à jour les périphériques Linux sur leurs réseaux avant le 12 décembre, comme l’exige une directive opérationnelle contraignante (BOD 22-01) publiée il y a un an.
Bien que le BOD 22-01 cible principalement les agences fédérales américaines, la CISA a également conseillé à toutes les organisations (y compris les entreprises privées) de donner la priorité à la correction immédiate de la faille de sécurité Looney Tunables.
Exploité dans les attaques de logiciels malveillants Kinsing
Bien que la CISA n’ait pas attribué l’exploitation en cours des Looney Tunables, des chercheurs en sécurité de la société de sécurité cloud Aqua Nautilus ont révélé il y a deux semaines que les opérateurs de logiciels malveillants Kinsing utilisaient la faille dans des attaques ciblant les environnements cloud.
Les attaques commencent par exploiter une vulnérabilité connue dans le cadre de test PHP « PHPUnit ». Cette première violation leur permet d’établir une base d’exécution de code, puis de tirer parti du problème « Looney Tunables » pour élever leurs privilèges.
Après avoir obtenu un accès root aux appareils Linux compromis, les acteurs malveillants installent un shell Web JavaScript pour un accès par porte dérobée. Ce shell leur permet d’exécuter des commandes, de gérer des fichiers et d’effectuer une reconnaissance du réseau et des serveurs.
L’objectif ultime des attaquants de Kinsing est de voler les informations d’identification du fournisseur de services cloud (CSP), dans le but d’accéder aux données d’identité de l’instance AWS.
Kinsing est connu pour avoir violé et déployé des systèmes basés sur le cloud de logiciels de crypto mining, notamment Kubernetes, les API Docker, Redis et Jenkins.
Microsoft a également récemment observé le groupe ciblant les clusters Kubernetes via des conteneurs PostgreSQL mal configurés, tandis que TrendMicro les a repérés en train d’exploiter le bogue critique Apache ActiveMQ CVE-2023-46604 pour compromettre les systèmes Linux.