Error de escalada de privilegios en Linux 'Looney Tunables' vinculado al actor de amenazas Kinsing

-


La primera instancia de un ataque de explotación a la vulnerabilidad de escalada de privilegios de Linux conocida como "Looney Tunables" (CVE-2023-4911) fue informada por investigadores de Aqua Nautilus.

En una publicación de blog el 3 de noviembre, los investigadores de Aqua Nautilus dijeron que están "100% seguros" de que el actor de amenazas Kinsing estaba detrás del ataque, pero aún no están listos para revelar "cómo".

Los investigadores de Aqua Nautilus anunciaron que en un próximo informe dedicado a Kinsing revelarán el enigma que rodea el caso. Prometieron un análisis exhaustivo, demostrando las metodologías y evidencias que permitieron al equipo de Aqua vincular de manera concluyente el ataque al actor de amenazas que tiene una historia notable.

Hasta la fecha, ningún grupo de investigación ha vinculado de manera concluyente a Kinsing con ningún grupo de amenazas específico, ya sea un estado-nación u otro. Sin embargo, Kinsing representa una amenaza significativa para los entornos en la nube, en particular los clústeres de Kubernetes, las API de Docker, los servidores Redis y los servidores Jenkins, según los investigadores de Aqua Nautilus. Su capacidad para adaptarse rápidamente a nuevas vulnerabilidades y sus esfuerzos persistentes para explotar configuraciones incorrectas los convierten en un adversario formidable. El actor de amenazas Kinsing ha estado activamente involucrado en operaciones de cripto-minería.

Kinsing ha sido observado explotando servidores Openfire

Los investigadores de Aqua Nautilus informaron que Kinsing ha sido observado recientemente explotando servidores Openfire vulnerables. Esta ha sido en realidad una modus operandi robusta de Kinsing, específicamente para agregar rápidamente sus exploits de arsenal de vulnerabilidades recién descubiertas. Además, el blog de Aqua Nautilus dijo que Microsoft Defender for Cloud ha informado de un gran número de clústeres infectados por configuraciones incorrectas en servidores PostgreSQL y otras cuatro imágenes de contenedores vulnerables: PHPUnit, Weblogic, Liferay y WordPress.

Andrew Barratt, vicepresidente de Coalfire, explicó que la vulnerabilidad de Looney Tunables afecta a sistemas Linux comúnmente containerizados y utilizados en entornos en la nube.

"La razón por la que es significativa es que potencialmente otorga a un intruso una posición persistente con privilegios elevados, lo que le permite manipular y controlar el sistema subyacente, ya sea en la nube o no", dijo Barratt. "Debido a la capacidad del motor de orquestación para escalar, esto podría permitir que un atacante pruebe rápidamente un ataque que otorgaría acceso a toda una infraestructura basada en la nube".

Anurag Gurtu, CPO de StrikeReady, recomendó que para los equipos de seguridad, el paso inmediato debería ser investigar a fondo sus entornos en busca de indicadores de compromiso asociados con esta vulnerabilidad. Gurtu dijo que la gestión de parches es crucial: asegurarse de que todos los sistemas estén actualizados con los últimos parches de seguridad puede prevenir la explotación.

"También es recomendable revisar las configuraciones del sistema y reducir la exposición innecesaria de interfaces críticas a Internet público", dijo Gurtu. "La monitorización y exploración continuas de vulnerabilidades en el entorno deberían convertirse en una práctica regular. Los equipos de seguridad deben hacer cumplir el principio de privilegio mínimo para limitar el alcance de acceso incluso si un componente está comprometido."


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

DeepSeek: Ciberataque expone vulnerabilidades críticas en su modelo de IA R1 y reaviva debates sobre seguridad global

-
Imagen
La empresa china de inteligencia artificial DeepSeek enfrenta una tormenta de críticas tras revelar que un ciberataque masivo interrumpió sus servicios de registro de usuarios este lunes. El incidente coincide con hallazgos alarmantes de investigadores de seguridad: su modelo de IA *R1*, promocionado como una alternativa económica a ChatGPT y Gemini, presenta vulnerabilidades que permiten generar contenido malicioso y evadir controles éticos.   Detalles del ataque y fallos técnicos  Ataque DDoS sospechado : Aunque DeepSeek no confirmó detalles técnicos, expertos sugieren que el ataque fue de denegación de servicio (DDoS), saturando sus servidores para bloquear nuevos registros. La empresa aseguró que los usuarios existentes no se vieron afectados.   Falsas cuentas y riesgos de suplantación : DeepSeek alertó sobre perfiles falsos en redes sociales que imitan su marca, un movimiento que podría vincularse a campañas de phishing o desinformación.   Vulner...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más