Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Linux nel mirino dalla cybergang Kinsing. Il bug Looney Tunables colpisce il Cloud

Redazione RHC : 8 Novembre 2023 17:15

Gli operatori di malware Kinsing stanno attaccando gli ambienti cloud con sistemi vulnerabili all’ultimo bug di Linux Looney Tunables. Come promemoria, questa vulnerabilità viene tracciata come CVE-2023-4911 e consente a un utente malintenzionato locale di ottenere privilegi di root sul sistema.

La vulnerabilità, scoperta in ottobre dagli specialisti Qualys, è associata a un buffer overflow e si verifica durante l’elaborazione della variabile d’ambiente GLIBC_TUNABLES nelle installazioni standard di Debian 12 e 13, Ubuntu 22.04 e 23.04, nonché Fedora 37 e 38. Sfruttando il bug, un utente malintenzionato può ottenere l’esecuzione di codice arbitrario con privilegi di root durante l’esecuzione di file binari con privilegi SUID.

Poco dopo la pubblicazione del rapporto Qualys, diversi ricercatori hanno pubblicato exploit PoC per questo problema. Allo stesso tempo, gli stessi esperti di Qualys hanno scritto di non pubblicare deliberatamente prove di concetto, poiché ciò potrebbe “mettere a rischio un numero enorme di sistemi, dato l’uso diffuso di glibc nelle distribuzioni Linux”.

Purtroppo i timori degli esperti non sono stati vani. Come hanno riferito gli analisti di Aqua Nautilus, gli operatori del malware Kinsing hanno già iniziato a sfruttare CVE-2023-4911, sfruttando la vulnerabilità per aumentare i privilegi in sistemi già compromessi.


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Kinsing è noto per l’hacking di sistemi e applicazioni cloud (come Kubernetes, API Docker, Redis e Jenkins) per distribuire minatori di criptovaluta. Pertanto, Microsoft ha recentemente avvertito che il gruppo sta attaccando i cluster Kubernetes attraverso contenitori PostgreSQL configurati in modo errato.

Le esportazioni di Aqua Nautilus riferiscono che gli attacchi Kinsing ora iniziano sfruttando una vulnerabilità nota nel framework PHPUnit (CVE-2017-9841), che fornisce agli aggressori capacità di esecuzione del codice, e quindi utilizzano il problema Looney Tunables per aumentare i privilegi.

Sfruttamento CVE-2017-9841

Tuttavia, i ricercatori notano che per ora gli hacker stanno conducendo manualmente gli attacchi ai Looney Tunables, probabilmente cercando di assicurarsi che tutto funzioni come dovrebbe prima di creare script per automatizzare queste attività. Lo sfruttamento di una vulnerabilità di PHPUnit porta all’apertura di una reverse shell su un sistema compromesso tramite la porta 1337, che gli operatori di Kinsing utilizzano per effettuare operazioni di ricognizione.

Gli aggressori caricano quindi lo script gnu-acme.py nel sistema, che sfrutta il problema CVE-2023-4911 per aumentare i privilegi. Inoltre gli aggressori hanno preso l’exploit per Looney Tunables direttamente dal repository di un ricercatore di sicurezza informatica che aveva precedentemente pubblicato un PoC per questo bug. L’esperto ha già promesso di fermare questa attività dannosa sostituendo il collegamento diretto.

Successivamente gli aggressori caricano nel sistema uno script PHP che utilizza una backdoor web shell scritta in JavaScript (wesobase.js). Consente agli hacker di eseguire comandi, azioni di gestione dei file, raccogliere informazioni sulla rete e sul server ed eseguire crittografia e decrittografia.

È interessante notare che nell’ambito di questa campagna gli operatori Kinsing erano interessati principalmente alle credenziali dei fornitori di servizi cloud, in particolare cercavano l’accesso all’identità delle istanze AWS. Gli esperti di Aqua Nautilus sottolineano che si tratta di un notevole cambiamento di tattica verso azioni più complesse e dannose. Secondo loro, questa campagna è diventata un esperimento per gli hacker, poiché il gruppo ha utilizzato metodi insoliti e ha esteso i suoi attacchi alla raccolta di credenziali.

Raccolta di informazioni AWS

In precedenza, [Kinsing] si concentrava principalmente sulla distribuzione di malware e cryptominer, spesso cercando di aumentare le proprie possibilità di successo eliminando i concorrenti o eludendo il rilevamento. Tuttavia, la nuova campagna suggerisce che Kinsing potrebbe presto pianificare di impegnarsi in attività più varie e ricche, il che potrebbe significare maggiori rischi per i sistemi e i servizi in esecuzione nel cloud”, concludono i ricercatori.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Vibe Coding fuori controllo. L’IA Genera codice vulnerabile, ma tutti se ne fregano
Di Redazione RHC - 02/08/2025

L’intelligenza artificiale sta diventando sempre più un assistente per i programmatori, ma uno studio di Veracode ha dimostrato che la praticità comporta un rischio per la sicurezza. ...

Exploit RCE 0day/0click su iOS in vendita. Scopriamo il mercato delle armi cibernetiche per lo spionaggio
Di Redazione RHC - 01/08/2025

Un annuncio apparso su un forum online, datato 26 luglio 2025, ha catturato la nostra attenzione: un utente di nome “Bucad” pubblicizza la vendita di un “iOS RCE Exploit 0day | Ze...

Lovense scrive a Red Hot Cyber. Il CEO manda dei chiarimenti sulle vulnerabilità sicurezza
Di Redazione RHC - 01/08/2025

In relazione al nostro precedente articolo relativo ai bug di sicurezza rilevati sui dispositivi Lovesense (azienda leader leader nel settore dei dispositivi tecnologici per l’intimità), l...

Che cos’è il vibe coding? Scopriamo la nuova frontiera della Programmazione
Di Diego Corbi - 31/07/2025

“Ho bisogno di un sistema per gestire gli eventi della mia chiesa: volontari, iscrizioni, organizzazione degli eventi per la comunità”. Due settimane dopo aver scritto questo prompt...

Nokia sotto attacco: su DarkForums spunta in vendita il database di quasi 100.000 dipendenti
Di Redazione RHC - 31/07/2025

Un utente con il nickname Tsar0Byte ha pubblicato su DarkForums, uno dei forum underground più noti nell’ambiente cybercrime, un annuncio scioccante: la presunta compromissione di dati sen...