Kinsing Crypto Malware se dirige a sistemas Linux a través de un fallo de Apache

Iniciado por AXCESS, Noviembre 22, 2023, 06:12:11 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Activo desde 2020, el resurgimiento del malware Kinsing representa una amenaza importante para los sistemas basados en Linux, ya que se infiltra en los servidores y se propaga rápidamente a través de las redes.

Los investigadores de ciberseguridad de Trend Micro han identificado a ciberdelincuentes que aprovechan una vulnerabilidad crítica en Apache ActiveMQ (CVE-2023-46604) para infectar sistemas Linux con el malware Kinsing (también conocido como h2miner). Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario en los sistemas afectados, instalando rootkits y mineros de criptomonedas.

¿Qué es el malware Kinsing?

El malware Kinsing representa una amenaza importante para los sistemas basados en Linux, ya que se infiltra en los servidores y se propaga rápidamente a través de las redes. Explota vulnerabilidades en aplicaciones web o entornos de contenedores mal configurados para obtener acceso, específicamente dirigidos a sistemas Linux. Sus objetivos principales incluyen la extracción de criptomonedas, como Bitcoin, y el establecimiento de persistencia en el host infectado.

Curiosamente, el malware detecta y erradica mineros de criptomonedas competidores, apuntando a procesos, conexiones de red activas y crontabs que explotan vulnerabilidades como WebLogic o Log4Shell. Este enfoque estratégico permite que el malware obtenga un control total de los recursos del sistema.

Además, garantiza la persistencia al agregar un cronjob para descargar y ejecutar su script de arranque malicioso cada minuto, lo que garantiza que el último binario malicioso de Kinsing esté disponible constantemente en el host infectado.

"Kinsing duplica su persistencia y compromiso al cargar su rootkit en /etc/ld.so.preload, lo que completa un compromiso completo del sistema", señalaron los investigadores.

Recientemente, los atacantes que utilizan el malware Kinsing han utilizado vulnerabilidades de alto perfil como CVE-2023-4911 (Looney Tunables).

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Acerca de la vulnerabilidad

Desde principios de noviembre de 2023, los investigadores de Trend Micro observaron que se está explotando CVE-2023-46604. Es una vulnerabilidad de gravedad crítica a la que se le asigna una puntuación CVSS de 9,8. La vulnerabilidad se debe a que los comandos OpenWire no validan el tipo de clase arrojable, lo que habilita RCE.

"Cuando el marshaller no puede validar el tipo de clase de un Throwable, sin darse cuenta permite la creación y ejecución de instancias de cualquier clase. Esto abre la puerta a vulnerabilidades de ejecución remota de código (RCE), lo que permite a los atacantes ejecutar código arbitrario en el servidor o aplicación afectada", explicaron los investigadores de Trend Micro en una publicación de blog.

Apache ActiveMQ es una popular plataforma de integración y mensajes de código abierto escrita en Java. Implementa middleware orientado a mensajes (MOM) y facilita la comunicación entre diferentes aplicaciones. Ofrece diferentes funciones, incluidas OpenWire, STOMP y Jakarta Messaging (JMS). OpenWire es un protocolo binario diseñado para MOM y sirve como formato de conexión nativo para ActiveMQ. Ofrece varios beneficios, como eficiencia del ancho de banda y soporte para varios tipos de mensajes.

¿Cómo funciona el ataque?

El malware Kinsing explota la vulnerabilidad CVE-2023-46604 descubierta en Apache ActiveMQ, que permite la ejecución remota de código (RCE). La vulnerabilidad permite a los atacantes ejecutar código arbitrario en el sistema afectado. Después de obtener acceso al servidor vulnerable y ejecutar el binario Kinsing, es posible instalar rootkits y criptomineros, robar datos confidenciales, interrumpir operaciones e instalar malware.

Versiones impactadas

Las versiones de Apache ActiveMQ 5.18.0 anteriores a 5.18.3, 5.17.0 anteriores a 5.17.6 y 5.16.0 anteriores a 5.16.5 son vulnerables a este ataque. Apache ActiveMQ ha lanzado parches para todas las versiones afectadas. Se recomienda a los usuarios que actualicen sus instalaciones de ActiveMQ lo antes posible. Además, mantenga OpenWire desactivado si no es necesario, restrinja el acceso a las interfaces de administración de ActiveMQ y aísle las implementaciones de ActiveMQ mediante la segmentación de la red para mantenerse protegido.

Comentarios de los expertos:

Ken Dunham, director de Amenazas Cibernéticas en Qualys, con sede en Foster City, California, un proveedor disruptivo de soluciones de cumplimiento, seguridad y TI basado en la nube, declaró que existe una necesidad imperiosa de una configuración adecuada de la plataforma en la nube.

"La principal conclusión que entiendo es que la nube rara vez se configura correctamente y que el malware se aprovecha de ello. No queremos permitir que malware como este sea prueba de configuraciones deficientes y falta de seguridad en nuestros sistemas, especialmente en torno a las herramientas, tácticas y procedimientos (TTP) de movimiento lateral utilizados por el grupo".

Dunham señaló que Kinsing ha sido una amenaza importante desde 2020.

"Kinsing se ha aprovechado con éxito de contenedores Docker en la nube mal autenticados y configurados que se remontan a 2020, y luego realizó intentos de movimiento lateral aprovechando ataques de fuerza bruta", explicó Dunham.

Irfan Asrar, director de investigación de malware y amenazas de Qualys, dijo que los investigadores han descubierto una brecha importante en la nube.

"Este descubrimiento resalta una brecha importante en la nube que comúnmente no se defiende; la mayoría de las aplicaciones web/infraestructura de la nube no analizan en busca de malware en su infraestructura de la nube, sino que simplemente intentan filtrar el tráfico web, lo que permite que el malware Kinsing aproveche y gane persistencia. Veo que otros grupos aprovecharán esta brecha en el futuro".

Fuente:
HackRead
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta