MinIO Cyberattack präsentiert neuen Unternehmens-Cloud-Vektor

In der Cloud ist ein völlig neuer Angriffsvektor aufgetaucht, der es Cyberkriminellen ermöglicht, Code aus der Ferne auszuführen und die volle Kontrolle über Systeme zu übernehmen, auf denen das verteilte Objektspeichersystem namens MinIO läuft.

MinIO ist ein Open-Source-Angebot kompatibel mit dem Amazon S3 Cloud-Speicherdienst, mit dem Unternehmen unstrukturierte Daten wie Fotos, Videos, Protokolldateien, Backups und Containerbilder verarbeiten können. Forscher von Security Joes beobachteten kürzlich, dass Bedrohungsakteure eine Reihe kritischer Schwachstellen in der Plattform ausnutzten (CVE-2023-28434 und CVE-2023-28432), um ein Unternehmensnetzwerk zu infiltrieren.

„Die spezifische Exploit-Kette, auf die wir gestoßen sind, wurde noch nie zuvor in freier Wildbahn beobachtet oder zumindest nicht dokumentiert. Damit ist dies der erste Beweis dafür, dass solche nicht-nativen Lösungen von Angreifern übernommen werden“, so Security Joes. „Es war überraschend zu entdecken, dass diese Produkte relativ einfach neue kritische Schwachstellen ausnutzen können, was sie zu einem verlockenden Angriffsvektor macht, der von Bedrohungsakteuren über Online-Suchmaschinen gefunden werden kann.“

Bei dem Angriff täuschten die Cyberkriminellen einen DevOps-Ingenieur vor, MinIO auf eine neue Version zu aktualisieren, die effektiv als Hintertür fungierte. Die Vorfallhelfer von Security Joes stellten fest, dass es sich bei dem Update um eine bewaffnete Version von MinIO handelte, die eine integrierte Befehls-Shell-Funktion namens „GetOutputDirectly()“ und Remote-Code-Execution-Exploits (RCE) für die beiden im März offengelegten Schwachstellen enthielt.

Darüber hinaus stellt sich heraus, dass diese mit Sprengfallen versehene Version in einem GitHub-Repository unter dem Namen „Evil_MinIO“ verfügbar ist. Die Forscher von Security Joes stellten fest, dass dieser spezielle Angriff zwar vor der RCE-and-Takeover-Phase gestoppt wurde, die Existenz der bösen Zwillingssoftware die Benutzer jedoch auf zukünftige Angriffe aufmerksam machen sollte, insbesondere gegen Softwareentwickler. Ein erfolgreicher Angriff könnte sensible Unternehmensinformationen und geistiges Eigentum offenlegen, Zugriff auf interne Anwendungen ermöglichen und Angreifern die Möglichkeit geben, tiefer in die Infrastruktur von Organisationen einzudringen.

„Es stellt ein kritisches Versehen dar, die überragende Bedeutung der Sicherheit über den gesamten Softwareentwicklungszyklus hinweg nicht ausdrücklich anzuerkennen“, so die Aussage Blogbeitrag von Security Joes über die Untersuchung. „Solche Fahrlässigkeit kann eine Organisation möglicherweise erheblichen Risiken aussetzen. Auch wenn diese Risiken möglicherweise nicht unmittelbar auftreten, lauern sie doch im Schatten und warten auf die richtige Gelegenheit zur Ausnutzung.“