Kinsing EXPLoit Attacks and the Looney Tunables Vulnerability

关键要点

• Kinsing被确定为最近利用“Looney Tunables”Linux特权升级漏洞（CVE-2023-4911）的攻击者。
• Aqua Nautilus研究人员正在准备一份专门分析Kinsing攻击的方法和证据的报告。
• Kinsing对云环境，尤其是Kubernetes集群和Docker API构成了重大威胁。
• 安全团队应及时检查其环境，确保更新最新的安全补丁，并严格实施最小权限原则。

最近，Aqua Nautilus的研究人员首次报告了对“LooneyTunables”的Linux特权升级漏洞（CVE-2023-4911）的攻击事件。他们针对攻击者Kinsing表示“我们100%确定”是其实施的攻击，然而，他们还没有准备好透露具体的攻击方式。

AquaNautilus的研究人员在即将发布的针对Kinsing的报告中，承诺将揭示这一案件的奥秘。他们将进行全面分析，展示让Aqua团队最终将此次攻击与具有悠久历史的威胁行为者关联的研究方法和证据。

截至目前，尚无研究小组明确将Kinsing与任何特定的威胁团体或国家相联系。然而，Kinsing对云环境构成了重大威胁，尤其是、DockerAPI、Redis服务器以及Jenkins服务器。研究人员提到Kinsing迅速适应新漏洞的能力以及持续努力利用配置错误的能力，使其成为一个可怕的对手。Kinsing威胁行为者已经积极参与加密劫持操作。

Kinsing利用Openfire服务器的情况

AquaNautilus的研究人员报告称，Kinsing最近被观察到。这其实是Kinsing的一个惯用手法，特别是迅速将新发现漏洞的利用手段添加到其武器库中。此外，AquaNautilus的博客提到，微软云防御者已，大量集群因PostgreSQL服务器的配置错误而被感染，以及四种其他脆弱的容器镜像：PHPUnit、Weblogic、Liferay和WordPress。

如同Coalfire的副总裁Andrew Barratt所说，“LooneyTunables”漏洞影响着在云环境中普遍使用的容器化Linux系统。“重要性在于，它可能允许入侵者获得一个持久的、具有提升权限的位置，从而操控和控制底层系统，无论是云还是其他。”

Barratt还指出，由于编排引擎的扩展能力，这可能使攻击者迅速测试攻击，以快速获取对整个云基础设施的访问权。

StrikeReady的首席产品官AnuragGurtu表示，对于安全团队来说，立即采取的措施应是彻底检查其环境，以查找与此漏洞相关的妥协迹象。Gurtu强调补丁管理至关重要：确保所有系统都更新到最新的安全补丁可以防止被利用。

Gurtu建议：“还应审查系统配置，并减少关键接口对公共互联网的过度暴露。对环境中漏洞进行持续监控和扫描应当成为常规做法。安全团队应强制执行最小权限原则，以限制访问范围，即使一个组件被破坏也要如此。”