Les pirates de Kinsing exploitent la faille Looney Tunables pour compromettre des instances Cloud
La faille de sécurité Looney Tunables présente dans une bibliothèque du noyau Linux semble intéresser certains cybercriminels. En effet, des pirates associés au groupe Kinsing ont été repérés en train de tenter d’exploiter cette vulnérabilité pour compromettre des environnements Cloud. Voici ce que l’on sait.
Pour rappel, la vulnérabilité Looney Tunables (référence CVE-2023-4911) a été découverte par les chercheurs en sécurité de chez Qualys et elle se situe dans la bibliothèque C du projet GNU : glibc. Cette bibliothèque est intégrée dans le noyau Linux. Quant à cette vulnérabilité, elle a été introduite dans la bibliothèque glibc en avril 2021 (dans glibc 2.34). En l’exploitant, un attaquant peut élever ses privilèges et devenir root sur la machine.
Dans un rapport partagé par l’entreprise Aqua, nous pouvons lire ce qui suit :
En utilisant une attaque rudimentaire mais typique d’exploitation d’une vulnérabilité dans PHPUnit, une étape de la campagne en cours de Kinsing, nous avons découvert les efforts manuels de l’acteur malveillant pour manipuler la vulnérabilité Looney Tunables (CVE-2023-4911).
Le groupe Kinsing à l’habitude d’utiliser une faille critique dans PHPUnit (CVE-2017-9841) permettant une exécution de code à distance. Elle leur permet d’avoir un accès initial à la machine cible. Ensuite, leur objectif est d’exploiter la vulnérabilité Looney Tunables pour élever leur privilège.
Dans le cas présent, les attaquants ont effectué des actions manuelles, notamment à l’aide d’un exploit codé en Python. Pas n’importe lequel puisque Kinsing récupère un exploit publié par un utilisateur surnommé @bl4sty. Sur son site, @bl4sty explique qu’il s’agit d’un “exploit d’escalade des privilèges locaux de Linux” ciblant la vulnérabilité Looney Tunables.
Habituellement, le groupe Kinsing cherche plutôt à compromettre des machines pour lancer un mineur de cryptomonnaie. Ici, les motivations sont différentes. En effet, les cybercriminels ont cherché à extraire les informations d’identifiants (credentials) du fournisseur de services Cloud afin d’effectuer d’autres actions par la suite. Dans le cas présenté par Aqua, il s’agissait d’une tentative de compromission à l’encontre d’une instance AWS (Cloud Amazon).
L’opération Kinsing pourrait se diversifier et s’intensifier dans un avenir proche, posant ainsi une menace accrue pour les environnements cloud-native.
précise le rapport d’Aqua.
– Source
https://www.it-connect.fr/les-pirates-de-kinsing-exploitent-la-faille-looney-tunables-pour-compromettre-des-instances-cloud/
Détails de l’attaque
Contrairement à leur habitude, Kinsing a testé manuellement la dernière attaque, probablement pour s’assurer qu’elle fonctionne comme prévue avant de développer des scripts d’exploitation pour automatiser la tâche.

– Exploitation de la faille CVE-2017-9841 (AquaSec)
L’exploitation de la faille PHPUnit (CVE-2017-9841) conduit à ouvrir un shell inversé sur le port 1337 sur le système compromis, que les opérateurs de Kinsing exploitent pour exécuter des commandes de reconnaissance comme uname -a et passwrd

– Ouverture d’un Shell inversé (AquaSec)
De plus, les attaquants déposent un script nommé gnu-acme.py sur le système, qui exploite la faille CVE-2023-4911 pour l’élévation de privilèges.
L’exploit de Looney Tunables est récupéré directement auprès du dépositaire du chercheur qui a sorti un PoC, sensible de cacher leurs traces.
Les attaquants téléchargent également un script PHP, qui déploie une backdoor JavaScript 'wesobase.js) qui prend en charge les étapes d’attaque suivantes.

– Payload JS
Plus précisément, la backdoor offre aux attaquants la possibilité d’exécuter des commandes, d’effectuer des actions de gestion de fichiers, de collecter des informations sur le réseau et le serveur, et d’exécuter des fonctions de chiffrement / déchiffrement.

– Collecte d’informations AWS