MinIO Cyberattack viser frem fersk bedriftsskyvektor

En helt ny angrepsvektor har dukket opp i skyen, som lar nettkriminelle eksternt kjøre kode og ta full kontroll over systemer som kjører det distribuerte objektlagringssystemet kalt MinIO.

MinIO er et åpen kildekode-tilbud kompatibel med Amazon S3 skylagringstjeneste, som lar selskaper håndtere ustrukturerte data som bilder, videoer, loggfiler, sikkerhetskopier og containerbilder. Forskere ved Security Joes har nylig observert trusselaktører som bruker et sett med kritiske sårbarheter i plattformen (CVE-2023-28434 og CVE-2023-28432) for å infiltrere et bedriftsnettverk.

"Den spesifikke utnyttelseskjeden vi snublet inn i ble ikke observert i naturen før, eller i det minste dokumentert, noe som gjør dette til det første tilfellet av bevis som viser at slike ikke-native løsninger blir tatt i bruk av angripere," ifølge Security Joes. "Det var overraskende å oppdage at disse produktene kunne ha så relativt enkle å utnytte nye kritiske sårbarheter, noe som gjør det til en fristende angrepsvektor som kan bli funnet av trusselaktører via søkemotorer på nettet."

I angrepet lurte nettkriminelle en DevOps-ingeniør til å oppdatere MinIO til en ny versjon som effektivt fungerte som en bakdør. Security Joes incident responders fastslo at oppdateringen var en våpenversjon av MinIO som inneholdt en innebygd kommandoskall-funksjon kalt "GetOutputDirectly()," og utnyttelse av ekstern kodekjøring (RCE) for de to sårbarhetene, som ble avslørt i mars.

Videre viser det seg at denne booby-fangede versjonen er tilgjengelig i et GitHub-lager under navnet "Evil_MinIO." Sikkerhet Joes-forskere bemerket at selv om dette bestemte angrepet ble stoppet før RCE-og-overtakelsesstadiet, bør eksistensen av evil-twin-programvaren gjøre brukere oppmerksomme på fremtidige angrep, spesielt mot programvareutviklere. Et vellykket angrep kan avsløre sensitiv bedriftsinformasjon og åndsverk, gi tilgang til interne applikasjoner og sette angripere opp til å pivotere dypere inn i organisasjoners infrastruktur.

"Å unnlate å eksplisitt anerkjenne den overordnede viktigheten av sikkerhet gjennom hele livssyklusen for programvareutvikling utgjør en kritisk tilsyn," ifølge Security Joes sitt blogginnlegg på etterforskningen. «Slik uaktsomhet kan potensielt utsette en organisasjon for betydelig risiko. Selv om disse risikoene kanskje ikke er umiddelbare, lurer de i skyggene og venter på den rette muligheten for utnyttelse.»