Cuộc tấn công mạng MinIO giới thiệu Vector đám mây công ty mới

Một phương thức tấn công hoàn toàn mới đã xuất hiện trên đám mây, cho phép tội phạm mạng thực thi mã từ xa và giành toàn quyền kiểm soát các hệ thống chạy hệ thống lưu trữ đối tượng phân tán có tên MinIO.

MinIO là một sản phẩm mã nguồn mở tương thích với Dịch vụ lưu trữ đám mây Amazon S3, cho phép các công ty xử lý dữ liệu phi cấu trúc như ảnh, video, tệp nhật ký, bản sao lưu và hình ảnh vùng chứa. Các nhà nghiên cứu tại Security Joes gần đây đã quan sát thấy các tác nhân đe dọa sử dụng một tập hợp các lỗ hổng nghiêm trọng trong nền tảng (CVE-2023-28434 và CVE-2023-28432) để xâm nhập vào mạng công ty.

Theo Security Joes, “Chuỗi khai thác cụ thể mà chúng tôi gặp phải chưa từng được quan sát thấy trong tự nhiên trước đây hoặc ít nhất là được ghi lại, khiến đây là trường hợp đầu tiên về bằng chứng cho thấy các giải pháp không có nguồn gốc như vậy đang được những kẻ tấn công áp dụng”. “Thật ngạc nhiên khi phát hiện ra rằng những sản phẩm này có thể khai thác một loạt lỗ hổng nghiêm trọng mới tương đối dễ dàng đến vậy, khiến nó trở thành một vectơ tấn công hấp dẫn mà các tác nhân đe dọa có thể tìm thấy thông qua các công cụ tìm kiếm trực tuyến.”

Trong cuộc tấn công, tội phạm mạng đã lừa một kỹ sư DevOps để cập nhật MinIO lên phiên bản mới có chức năng hoạt động hiệu quả như một cửa hậu. Những người ứng phó sự cố của Security Joes xác định rằng bản cập nhật là phiên bản vũ khí hóa của MinIO chứa hàm shell lệnh tích hợp có tên là “GetOutputDirectly()” và các hoạt động khai thác thực thi mã từ xa (RCE) đối với hai lỗ hổng đã được tiết lộ vào tháng 3.

Hơn nữa, hóa ra phiên bản bị mắc kẹt này có sẵn trong kho lưu trữ GitHub với biệt danh “Evil_MinIO”. Các nhà nghiên cứu của Security Joes lưu ý rằng mặc dù cuộc tấn công cụ thể này đã bị dừng trước giai đoạn RCE và tiếp quản, nhưng sự tồn tại của phần mềm song sinh độc ác sẽ khiến người dùng phải chú ý theo dõi các cuộc tấn công trong tương lai, đặc biệt là nhằm vào các nhà phát triển phần mềm. Một cuộc tấn công thành công có thể làm lộ thông tin nhạy cảm và tài sản trí tuệ của công ty, cho phép truy cập vào các ứng dụng nội bộ và khiến kẻ tấn công tiến sâu hơn vào cơ sở hạ tầng của tổ chức.

“Việc không nhận thức rõ ràng tầm quan trọng tối thượng của bảo mật trong toàn bộ vòng đời phát triển phần mềm sẽ tạo thành một sự giám sát nghiêm trọng,” theo Bài đăng trên blog của Security Joes về cuộc điều tra. “Sự sơ suất như vậy có thể khiến tổ chức gặp rủi ro đáng kể. Mặc dù những rủi ro này có thể không xảy ra ngay lập tức nhưng chúng ẩn nấp trong bóng tối, chờ đợi cơ hội thích hợp để khai thác.”