CISA призвала частные и госорганизации срочно устранить ошибку Looney Tunables, чтобы предотвратить потерю контроля над сетями.
Агентство по кибербезопасности и защите инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) объявило о необходимости усиления защиты федеральных систем от уязвимости в Linux, активно эксплуатируемой злоумышленниками.
Уязвимость Looney Tunables ( CVE-2023-4911 CVSS: 7.8) была обнаружена исследовательской группой Qualys и связана с переполнением буфера в динамическом загрузчике ld.so библиотеки GNU C. Ошибка затрагивает последние версии популярных дистрибутивов Linux, таких как Fedora, Ubuntu и Debian. Администраторам срочно рекомендуется обновить свои системы, учитывая активное использование уязвимости и наличие нескольких опубликованных в интернете эксплойтов с момента её раскрытия в октябре.
CISA включило уязвимость в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities Catalog, KEVC, KEV), отметив её как частый вектор атак и значительный риск для федерального предприятия, а также частных компаний. В соответствии с обязательной операционной директивой BOD 22-01, американские федеральные гражданские исполнительные органы должны устранить этот недостаток в своих сетях к 12 декабря.
Отмечается, что операторы вредоносного ПО Kinsing активно используют Looney Tunables в атаках, нацеленных на облачные среды. Исследователи из Aqua Nautilus обнаружили, что атаки Kinsing начинаются с эксплуатации известной уязвимости в PHP фреймворке PHPUnit, что позволяет злоумышленникам установить контроль над системами. После получения root-доступа хакеры устанавливают веб-оболочку JavaScript для дальнейшего контроля и кражи учетных данных облачных сервисов, а также для доступа к данным AWS.
Вредоносное ПО Kinsing известно использованием мощностей скомпрометированных облачных систем для майнинга криптовалют и уже атаковало такие платформы, как Kubernetes , API Docker и другие. Microsoft и TrendMicro также наблюдали атаки группы Kinsing, использующей различные уязвимости, включая недавно обнаруженную критическую уязвимость в Apache ActiveMQ.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале