MinIO Cyberatak prezentuje świeży wektor chmury korporacyjnej

W chmurze pojawił się zupełnie nowy wektor ataku, umożliwiający cyberprzestępcom zdalne wykonanie kodu i przejęcie pełnej kontroli nad systemami, na których działa rozproszony system przechowywania obiektów o nazwie MinIO.

MinIO to oferta typu open source kompatybilny z Usługa przechowywania w chmurze Amazon S3, która umożliwia firmom obsługę nieustrukturyzowanych danych, takich jak zdjęcia, filmy, pliki dziennika, kopie zapasowe i obrazy kontenerów. Badacze z Security Joes zaobserwowali ostatnio, że ugrupowania zagrażające wykorzystują zestaw krytycznych luk w zabezpieczeniach platformy (CVE-2023-28434 i CVE-2023-28432) w celu infiltracji sieci firmowej.

„Konkretny łańcuch exploitów, na który natknęliśmy się, nie był wcześniej obserwowany na wolności ani przynajmniej udokumentowany, co czyni ten pierwszy przypadek dowodem na to, że osoby atakujące przyjmują takie nienatywne rozwiązania” – twierdzi Security Joes. „Zaskakujące było odkrycie, że produkty te mogą mieć tak stosunkowo łatwy do wykorzystania nowy zestaw krytycznych luk w zabezpieczeniach, co czyni je kuszącym wektorem ataku, który mogą zostać znalezione przez cyberprzestępców za pośrednictwem wyszukiwarek internetowych”.

Podczas ataku cyberprzestępcy oszukali inżyniera DevOps, aby zaktualizował MinIO do nowej wersji, która skutecznie działała jako backdoor. Osoby reagujące na incydenty w firmie Security Joes ustaliły, że aktualizacja była uzbrojoną wersją MinIO zawierającą wbudowaną funkcję powłoki poleceń o nazwie „GetOutputDirectly()” oraz exploity na zdalne wykonanie kodu (RCE) w przypadku dwóch luk, które ujawniono w marcu.

Co więcej, okazuje się, że ta wersja zawierająca miny-pułapki jest dostępna w repozytorium GitHub pod pseudonimem „Evil_MinIO”. Badacze z Security Joes zauważyli, że chociaż ten konkretny atak został zatrzymany przed etapem RCE i przejęcia, istnienie oprogramowania złego bliźniaka powinno zwrócić uwagę użytkowników, aby wypatrywali przyszłych ataków, szczególnie przeciwko twórcom oprogramowania. Udany atak może ujawnić wrażliwe informacje korporacyjne i własność intelektualną, umożliwić dostęp do aplikacji wewnętrznych i skłonić atakujących do głębszego wniknięcia w infrastrukturę organizacji.

„Brak wyraźnego uznania ogromnego znaczenia bezpieczeństwa w całym cyklu życia oprogramowania stanowi krytyczne przeoczenie” – twierdzi. Wpis na blogu Security Joes na śledztwie. „Takie zaniedbanie może potencjalnie narazić organizację na znaczne ryzyko. Choć zagrożenia te mogą nie być natychmiastowe, czają się w cieniu i czekają na odpowiednią okazję do wykorzystania.