Hackers estão explorando duas vulnerabilidades recentes no MinIO para violar sistemas de armazenamento de objetos e acessar informações privadas, executar código arbitrário e potencialmente assumir o controle de servidores. O MinIO é um serviço de armazenamento de objetos de código aberto compatível com o Amazon S3 e capacidade de armazenar dados não estruturados, logs, backups e imagens de contêiner de até 50 terabytes (TB) de tamanho.
Seu alto desempenho e versatilidade, especialmente para aplicações de inteligência artificial (IA) e machine learning (ML) e data lake em larga escala, tornam o MinIO uma escolha interessante e econômica.
As duas vulnerabilidades encontradas encadeadas em ataques pelo serviço de detecção e resposta a incidentes de segurança Security Joes são o CVE-2023-28432 e o CVE-2023-28434, dois problemas de alta gravidade que afetam todas as versões do MinIO anteriores ao release 2023-03-20T20-16-18Z.
As duas vulnerabilidades foram divulgadas e corrigidas pelo fornecedor em 3 de março
Os analistas do Security Joes descobriram que os invasores tentaram instalar uma versão modificada do aplicativo MinIO, chamado Evil MinIO, que está disponível no GitHub. Como parte do ataque, o Evil MinIO encadeia a divulgação de informações CVE-2023-28432 e as falhas CVE-2023-28434 para substituir o software MinIO por código modificado que adiciona uma backdoor acessível remotamente.
O ataque começou com os invasores fazendo engenharia social para convencer um engenheiro de DevOps a fazer o downgrade para uma versão anterior do software MinIO que é afetada pelas duas vulnerabilidades. Uma vez instalados, os hackers exploraram o CVE-2023-28432 para acessar remotamente as variáveis de ambiente do servidor.
Como parte desse processo, a cadeia de exploração usa a falha CVE-2023-28434 para substituir o arquivo de código-fonte .go legítimo por um adulterado. Esta atualização maliciosa é idêntica ao aplicativo MinIO legítimo, mas apresenta código adicional que permite executar comandos remotamente para um servidor.
Veja isso
Centenas de storages QNAP estão sendo atacados por ransomware
Especialista relaciona segurança e storage
No incidente visto pela Security Joes os analistas detectaram os operadores de ameaças usando essa backdoor para executar comandos Bash e baixar scripts Python. “Esse endpoint funciona como uma backdoor integrada, concedendo a indivíduos não autorizados a capacidade de executar comandos no host que executa o aplicativo”, explicam os pesquisadores.
“Notavelmente, os comandos executados herdam as permissões do sistema do usuário que iniciou o aplicativo. Nesse caso, devido a práticas de segurança inadequadas, o engenheiro de DevOps que iniciou o aplicativo detinha permissões de nível raiz”, acrescentaram os analistas.
Diante disso, os analistas da Security Joes orientam os administradores do sistema em nuvem a agir rapidamente para aplicar a atualização de segurança disponível para proteger seus ativos dos operadores Evil MinIO.