Nueva campaña de Kinsing aprovecha vulnerabilidad Looney Tunables de Linux

Una nueva campaña que intenta comprometer entornos de la nube ha sido detectada recientemente por investigadores de Aquasec, tras incursiones experimentales de explotación asociadas al grupo de actores de amenaza Kinsing.

La vulnerabilidad es rastreada con el CVE-2023-4911 y corresponde un desbordamiento del búfer en el cargador dinámico ld.so de la biblioteca GNU C mientras se procesa la variable de entorno GLIBC_TUNABLES. Esta vulnerabilidad podría permitir que un atacante local utilice variables de entorno GLIBC_TUNABLES diseñadas con fines malintencionados al iniciar archivos binarios con permiso SUID para ejecutar código con privilegios elevados.

Kinsing 

Es un actor de amenaza que se enfoca en entornos nativos de la nube, especialmente clústeres de Kubernetes, la API de Docker, los servidores Redis, los servidores Jenkins y otros. Su foco principal es aprovechar errores de configuración de los entornos cloud para explotarlos y establecer sus operaciones de  criptojacking, uno de los métodos usados por el grupo de amenaza es la implementación de rootkits para ocultar su presencia en los sistemas infectados, para terminar y desinstalar activamente servicios y procesos que consumen muchos recursos. Sus campañas recientes también han involucrado la búsqueda de puertos WebLogic predeterminados abiertos para ejecutar comandos de shell y lanzar malware.

Cadena de explotación de la vulnerabilidad  

• Inicialmente  los actores de amenaza utilizan la explotación de de la vulnerabilidad PHPUnit (CVE-2017-9841).
• Posteriormente instala un shell inverso a través de la instalación del script Perl bc[.]pl usando el puerto  1337.

Ilustración 1: Muestra de la carga útil que crea el shell inverso para el C2

Fuente: Aquasec

• Una vez que se establece la comunicación con el comando y control (C2), los actores de amenaza establecen ejecuciones manuales de comandos con el propósito de: 
  • Obtener el nombre del kernel y el nombre del host mediante el comando 'uname -a' .
  • Obtener la información de la cuenta de usuario mediante el comando 'passwd'.
  • Inicia una nueva sesión de shell interactiva. El indicador `-i` garantiza que el shell sea interactivo, lo que significa que puede recibir y ejecutar comandos del usuario. 
  • Crear un directorio bajo '/tmp' .
  • Descargar el script gnu-acme[.]py, que en realidad es un exploit de la vulnerabilidad Looney Tunables (CVE-2023-4911).
  • Enumerar variables del entorno.
  • Descargar y ejecutar un script php que implemente un archivo JS.
  • Una vez que se descarga el exploit accesible públicamente a través del enlace a continuación, con el cual, los actores de amenazan inician la explotación de la vulnerabilidad CVE-2023-4911, que les permite obtener acceso local  privilegiados a la raíz de los entornos cloud afectados: 
    • https://haxx.in/files/gnu-acme.py 
• Posteriormente a la ejecución del exploit anterior, los actores de amenaza proceden a ejecutar un exploit adicional ofuscado llamado  wesobase[.]js que crea una puerta trasera de shell web que permite un mayor acceso no autorizado al servidor y  les permitirá futuras operaciones de explotación.  

Nota: El POC expuesto en el enlace anterior corresponde a un script de python conocido públicamente para la explotación de la vulnerabilidad CVE-2023-4911, se insta a los usuarios que deseen implementarlos en pruebas; hacerlos en ambientes controlados y bajo su propia responsabilidad. 

Tácticas, técnicas y procedimientos de  MITRE ATT&CK

Apreciación

Los entornos cloud son cada vez más atractivos para los actores de amenaza que tienen tendencia al criptojacking, esto debido a la posibilidad que le brindan estos entornos en cuanto al poder de procesamiento, lo cual representa un impacto para las organizaciones que se ven afectadas por la reducción de los recursos orientado a sus procesos reales.

Si bien el objetivo principal de este vector de ataque es principalmente la implantación de malware para minar criptomonedas, las víctimas de estos vectores no están exentas de que los actores de amenaza implementen los accesos ganados para otras operaciones maliciosas que comprometan la seguridad de la infraestructura tecnológica de las organizaciones afectadas.  

En este sentido, se deben seguir fortaleciendo las políticas de seguridad no sólo para los entornos físicos o locales, sino también los entornos cloud, orientando el monitoreo constante de las configuraciones correctas de las mismas para reducir las brechas de seguridad que los actores de amenaza puedan aprovechar para comprometer los recursos y la seguridad de la organización. 

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No abrir archivos de Microsoft Office que contengan MACROS hasta obtener confirmación del remitente y verificar que el envío sea bajo estrictas políticas de seguridad como por ejemplo: archivo cifrado, contraseña enviada por otro medio, contacto directo con el remitente.
• Utilizar el principio de menor privilegio, que trata de dividir el uso del sistema en dos cuentas, una estándar para uso diario que incluya las mínimas funciones posibles y otra cuenta de administrador que permita acceder al núcleo de su dispositivo.
• Tener atención y evitar extensiones como “exe”, “vbs” y “scr”. Es necesario vigilar este tipo de archivos, ya que podrían ser peligrosos. Un atacante podría utilizar diversas extensiones para enmascarar archivos maliciosos como un vídeo, foto, o un documento como: (reporte-clientes.doc.scr).
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
• Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.