Introduction
L’équipe de recherche d’Aqua Nautilus a récemment intercepté les incursions expérimentales de Kinsing dans les environnements cloud. À travers une attaque exploitant la vulnérabilité PHPUnit (CVE-2017-9841), les chercheurs ont découvert les tentatives manuelles de Kinsing pour manipuler la vulnérabilité Looney Tunables (CVE-2023-4911), marquant ainsi la première instance documentée d’une telle exploitation. Dans cet article, nous explorerons en détail la campagne de Kinsing, mettant en lumière les nouveautés de cette attaque et soulignant l’importance cruciale de la vigilance face à ces menaces en constante évolution.
Kinsing : Un Aperçu
Le groupe Kinsing représente une menace significative pour les environnements cloud-native, en particulier les clusters Kubernetes, les serveurs Docker API, les serveurs Redis, les serveurs Jenkins, entre autres. Leur capacité à s’adapter rapidement aux nouvelles vulnérabilités et leurs efforts persistants pour exploiter les erreurs de configuration font d’eux un adversaire redoutable. Ils sont également impliqués dans des opérations de cryptojacking, exploitant diverses méthodes pour atteindre leurs objectifs.
La Dernière Attaque Interceptée
Dans cette récente découverte, Kinsing a été observé exploitant la vulnérabilité Looney Tunables (CVE-2023-4911), une faille grave dans la bibliothèque GNU C (glibc). Cette vulnérabilité représente une bombe à retardement en raison de son potentiel d’escalade de privilèges locaux, permettant aux attaquants d’obtenir un accès root aux systèmes affectés. L’attaquant utilise un script Perl pour établir un shell inversé, puis exploite cette vulnérabilité pour télécharger et exécuter des scripts malveillants. Ces scripts créent une porte dérobée (backdoor) permettant un accès non autorisé au serveur. De plus, Kinsing tente de collecter des informations sensibles associées au Cloud Service Provider (CSP), élargissant ainsi leur champ opérationnel et augmentant la menace pesant sur les environnements cloud-native.
Détection et Atténuation : Les Mesures Essentielles
- Mise à Jour des Vulnérabilités : Assurez-vous que tous les systèmes sont à jour et correctement patchés, en particulier en ce qui concerne les vulnérabilités connues telles que PHPUnit (CVE-2017-9841) et Looney Tunables (CVE-2023-4911).
- Examen Approfondi des Politiques d’Authentification : Révisez les politiques d’autorisation et d’authentification, ajustez-les en fonction du principe du moindre privilège. Assurez-vous que les images utilisées sont configurées avec des privilèges minimaux, en évitant l’utilisation de l’utilisateur root et du mode privilégié autant que possible.
- Surveillance et Détection : Améliorez les capacités de surveillance pour détecter les activités inhabituelles, telles que les exécutions de commandes manuelles, les tentatives d’accès ou de recensement des identifiants CSP, et l’exécution de scripts malveillants connus.
- Protection en Temps Réel : En plus de la numérisation des vulnérabilités, mettez en place une protection en temps réel pour vous défendre contre les attaques sophistiquées. Les solutions de Détection et Réponse dans les Environnements Cloud-Native (CNDR) jouent un rôle critique en fournissant une surveillance en temps réel et la détection d’activités malveillantes dans l’environnement cloud.
Conclusion
La récente attaque de Kinsing met en évidence la nécessité d’une vigilance accrue et de mesures de sécurité renforcées dans les environnements cloud. En suivant les meilleures pratiques de sécurité, telles que la mise à jour régulière des systèmes, l’examen minutieux des politiques d’authentification et l’utilisation de solutions de surveillance en temps réel, les organisations peuvent se protéger efficacement contre les menaces émergentes comme celle de Kinsing.
N’oubliez pas : la sécurité de vos données dépend de votre préparation et de votre vigilance constantes face aux menaces en constante évolution. Restez protégés, restez informés.
