Bilinmeyen bir tehdit aktörünün, etkilenen sunucularda yetkisiz kod yürütme elde etmek için MinIO yüksek performanslı nesne depolama sistemindeki yüksek ciddiyetli güvenlik kusurlarını silah olarak kullandığı gözlemlendi.

Siber güvenlik ve olay müdahale firması Security Joes, izinsiz girişin MinIO örneğine arka kapı açmak için halka açık bir istismar zincirinden yararlandığını söyledi.

Bu açıklar CVE-2023-28432 (CVSS puanı: 7.5) ve CVE-2023-28434 (CVSS puanı: 8.8) olup, bunlardan ilki 21 Nisan 2023 tarihinde ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) Bilinen Açıklar (KEV) kataloğuna eklenmiştir.

Bu iki güvenlik açığı “tehlikeye atılmış kurulumda bulunan hassas bilgileri açığa çıkarma ve MinIO uygulamasının çalıştığı ana bilgisayarda uzaktan kod çalıştırmayı (RCE) kolaylaştırma potansiyeline sahip”.

Şirket tarafından araştırılan saldırı zincirinde, kusurların düşman tarafından yönetici kimlik bilgilerini elde etmek ve bir MIRROR_URL belirten bir güncelleme komutunu tetikleyerek ana bilgisayardaki MinIO istemcisini trojanize bir sürümle değiştirmek için dayanak noktasını kötüye kullanmak için silah olarak kullanıldığı söyleniyor.

MinIO belgelerinde “mc admin update komutu dağıtımdaki tüm MinIO sunucularını günceller” deniyor. “Komut ayrıca dağıtımın genel internet erişimine sahip olmadığı ortamlar için özel bir yansıtma sunucusu kullanılmasını da destekler.”

Security Joes, “Bu eylemlerin doruk noktası, saldırganın aldatıcı bir güncelleme düzenlemesine izin veriyor” dedi. “Gerçek MinIO ikilisini ‘kötü’ muadiliyle değiştirerek, saldırgan sistemin güvenliğini tehlikeye atıyor.”

İkilide yapılan kötü niyetli değişiklikler, HTTP istekleri aracılığıyla komutları alan ve yürüten bir uç noktayı ortaya çıkararak etkili bir şekilde arka kapı görevi görüyor. Komutlar, uygulamayı başlatan kullanıcının sistem izinlerini devralır.

İkilinin değiştirilmiş sürümünün, Nisan 2023’ün başlarında GitHub’da yayınlanan Evil MinIO adlı bir istismarın kopyası olduğunu belirtmek gerekir. Bununla birlikte, ikisi arasında bir bağlantı olduğunu gösteren herhangi bir kanıt bulunmamaktadır.

Tehdit aktörünün bash komut dosyaları ve Python ile çalışma konusunda yetkin olduğu açıktır, ayrıca bir indirici komut dosyası aracılığıyla sömürme sonrası için uzak bir sunucudan ek yükler bırakmak için arka kapı erişiminden yararlanmaktan bahsetmiyorum bile.

Hem Windows hem de Linux ortamlarını hedefleyebilen komut dosyası, güvenliği ihlal edilmiş ana bilgisayarların profilini çıkarmak için bir ağ geçidi işlevi görüyor ve buna göre yürütmenin sonlandırılıp sonlandırılmayacağına karar veriliyor.