Foi observado um ator de ameaça desconhecido explorando falhas de segurança de alta gravidade no sistema de armazenamento de objetos de alta performance MinIO para conseguir a execução não autorizada de código em servidores afetados.
A empresa de resposta a incidentes e cibersegurança Security Joes disse que a intrusão utilizou uma cadeia de exploração publicamente disponível para criar um backdoor na instância do MinIO.
Isso inclui a
CVE-2023-28432
(pontuação CVSS: 7.5) e a
CVE-2023-28434
(pontuação CVSS: 8.8), sendo que a primeira foi adicionada ao Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) em 21 de abril de 2023.
As duas vulnerabilidades "possuem o potencial de expor informações sensíveis presentes na instalação comprometida e facilitar a execução remota de código (RCE) no host onde o aplicativo MinIO está operacional", disse a Security Joes em um relatório compartilhado com o The Hacker News.
Na cadeia de ataque investigada pela empresa, as falhas teriam sido exploradas pelo adversário para obter credenciais de administrador e abusar da posição para substituir o cliente MinIO no host por uma versão trojanizada, acionando um comando de atualização especificando um MIRROR_URL.
"O comando mc admin update atualiza todos os servidores MinIO na implantação", lê-se na documentação do MinIO.
"O comando também suporta o uso de um servidor espelho privado para ambientes onde a implantação não tem acesso à internet pública."
"A culminação dessas ações permite ao atacante orquestrar uma atualização enganosa", disse a Security Joes.
"Ao substituir o binário autêntico do MinIO por seu equivalente 'maléfico', o atacante sela o comprometimento do sistema."
As modificações maliciosas no binário expõem um endpoint que recebe e executa comandos via solicitações HTTP, atuando efetivamente como um backdoor.
Os comandos herdam as permissões do sistema do usuário que iniciou o aplicativo.
Vale notar que a versão alterada do binário é uma réplica de um exploit chamado Evil MinIO que foi publicado no GitHub no início de abril de 2023.
Dito isto, não há evidências que sugerem uma conexão entre o autor do exploit e os atacantes.
O que é evidente é que o ator da ameaça é proficiente no trabalho com scripts bash e Python, sem mencionar a aproveitar o acesso ao backdoor para baixar os payloads suplementares de um servidor remoto para pós-exploração via um script de download.
O script, capaz de atacar tanto ambientes Windows quanto Linux, funciona como um gateway para perfilar os hosts comprometidos, com base nos quais é determinado se a execução deve ser finalizada ou não.
"Essa abordagem dinâmica destaca a estratégia do ator da ameaça em otimizar seus esforços com base no valor percebido do sistema comprometido", disse a Security Joes.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...