Hackers Exploram Vulnerabilidades do Sistema de Armazenamento MinIO para Comprometer Servidores
5 de Setembro de 2023

Foi observado um ator de ameaça desconhecido explorando falhas de segurança de alta gravidade no sistema de armazenamento de objetos de alta performance MinIO para conseguir a execução não autorizada de código em servidores afetados.

A empresa de resposta a incidentes e cibersegurança Security Joes disse que a intrusão utilizou uma cadeia de exploração publicamente disponível para criar um backdoor na instância do MinIO.

Isso inclui a CVE-2023-28432 (pontuação CVSS: 7.5) e a CVE-2023-28434 (pontuação CVSS: 8.8), sendo que a primeira foi adicionada ao Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) em 21 de abril de 2023.

As duas vulnerabilidades "possuem o potencial de expor informações sensíveis presentes na instalação comprometida e facilitar a execução remota de código (RCE) no host onde o aplicativo MinIO está operacional", disse a Security Joes em um relatório compartilhado com o The Hacker News.

Na cadeia de ataque investigada pela empresa, as falhas teriam sido exploradas pelo adversário para obter credenciais de administrador e abusar da posição para substituir o cliente MinIO no host por uma versão trojanizada, acionando um comando de atualização especificando um MIRROR_URL.

"O comando mc admin update atualiza todos os servidores MinIO na implantação", lê-se na documentação do MinIO.

"O comando também suporta o uso de um servidor espelho privado para ambientes onde a implantação não tem acesso à internet pública."

"A culminação dessas ações permite ao atacante orquestrar uma atualização enganosa", disse a Security Joes.

"Ao substituir o binário autêntico do MinIO por seu equivalente 'maléfico', o atacante sela o comprometimento do sistema."

As modificações maliciosas no binário expõem um endpoint que recebe e executa comandos via solicitações HTTP, atuando efetivamente como um backdoor.

Os comandos herdam as permissões do sistema do usuário que iniciou o aplicativo.
Vale notar que a versão alterada do binário é uma réplica de um exploit chamado Evil MinIO que foi publicado no GitHub no início de abril de 2023.

Dito isto, não há evidências que sugerem uma conexão entre o autor do exploit e os atacantes.

O que é evidente é que o ator da ameaça é proficiente no trabalho com scripts bash e Python, sem mencionar a aproveitar o acesso ao backdoor para baixar os payloads suplementares de um servidor remoto para pós-exploração via um script de download.

O script, capaz de atacar tanto ambientes Windows quanto Linux, funciona como um gateway para perfilar os hosts comprometidos, com base nos quais é determinado se a execução deve ser finalizada ou não.

"Essa abordagem dinâmica destaca a estratégia do ator da ameaça em otimizar seus esforços com base no valor percebido do sistema comprometido", disse a Security Joes.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...