Οι χάκερ εκμεταλλεύονται δύο πρόσφατες ευπάθειες του MinIO για να παραβιάσουν συστήματα αποθήκευσης αντικειμένων και να αποκτήσουν πρόσβαση σε ιδιωτικές πληροφορίες, να εκτελέσουν αυθαίρετο κώδικα και ενδεχομένως να καταλάβουν servers.

Δείτε επίσης: Έρευνα της VIPRE για spam και phishing emails

Το MinIO είναι μια υπηρεσία αποθήκευσης αντικειμένων ανοικτού κώδικα που προσφέρει συμβατότητα με το Amazon S3 και τη δυνατότητα αποθήκευσης μη δομημένων δεδομένων, αρχείων καταγραφής, αντιγράφων ασφαλείας και εικόνων εμπορευματοκιβωτίων μεγέθους έως και 50 TB.

Οι υψηλές επιδόσεις και η ευελιξία του, ειδικά για εφαρμογές μεγάλης κλίμακας AI/ML και data lake, καθιστούν το MinIO μια δημοφιλή, οικονομικά αποδοτική επιλογή.

Οι δύο ευπάθειες που βρέθηκαν αλυσιδωτές σε επιθέσεις από τους υπεύθυνους αντιμετώπισης περιστατικών της Security Joes είναι οι CVE-2023-28432 και CVE-2023-28434, δύο ζητήματα υψηλής σοβαρότητας που επηρεάζουν όλες τις εκδόσεις MinIO πριν από την έκδοση RELEASE.2023-03-20T20-16-18Z.

Οι δύο ευπάθειες αποκαλύφθηκαν και διορθώθηκαν από τον προμηθευτή στις 3 Μαρτίου 2023.

Επιθέσεις Evil MinIO

Κατά τη διάρκεια μιας εμπλοκής αντιμετώπισης περιστατικού, οι αναλυτές της Security Joes ανακάλυψαν ότι οι επιτιθέμενοι προσπάθησαν να εγκαταστήσουν μια τροποποιημένη έκδοση της εφαρμογής MinIO, με την ονομασία Evil MinIO, η οποία είναι διαθέσιμη στο GitHub.

Στο πλαίσιο της επίθεσης, το Evil MinIO αλυσοδένει τόσο το σφάλμα αποκάλυψης πληροφοριών CVE-2023-28432 όσο και το σφάλμα CVE-2023-28434 για να αντικαταστήσει το λογισμικό MinIO με τροποποιημένο κώδικα που προσθέτει μια backdoor με απομακρυσμένη πρόσβαση.

Η επίθεση ξεκίνησε με τους δράστες που χρησιμοποίησαν κάποια κοινωνική μηχανική για να πείσουν έναν μηχανικό της DevOPS να υποβαθμίσει σε μια παλαιότερη έκδοση του λογισμικού MinIO που επηρεάζεται από τις δύο ευπάθειες.

Μόλις εγκαταστάθηκαν, οι χάκερ εκμεταλλεύτηκαν το CVE-2023-28432 για να αποκτήσουν απομακρυσμένη πρόσβαση στις μεταβλητές περιβάλλοντος του server, συμπεριλαμβανομένων των μεταβλητών MINIO_SECRET_KEY και MINIO_ROOT_PASSWORD.

Αυτά τα διαχειριστικά διαπιστευτήρια επιτρέπουν στους χάκερς να έχουν πρόσβαση στην κονσόλα διαχείρισης MinIO χρησιμοποιώντας τον πελάτη MinIO. Χρησιμοποιώντας αυτόν τον πελάτη, οι δράστες τροποποιούν τη διεύθυνση URL ενημέρωσης λογισμικού σε μια διεύθυνση που ελέγχουν, για να προωθήσουν μια κακόβουλη ενημέρωση.

Στο πλαίσιο αυτής της διαδικασίας, η αλυσίδα εκμετάλλευσης χρησιμοποιεί το ελάττωμα CVE-2023-28434 για να αντικαταστήσει το νόμιμο αρχείο πηγαίου κώδικα .go με ένα παραποιημένο.

Πρόταση: Χάκερ κρατούν «ομήρους» παρόχους υγειονομικής περίθαλψης

Αυτή η κακόβουλη ενημέρωση είναι πανομοιότυπη με τη νόμιμη εφαρμογή MinIO, αλλά διαθέτει πρόσθετο κώδικα που επιτρέπει την εκτέλεση εντολών εξ αποστάσεως σε έναν παραβιασμένο server μέσω των ακόλουθων διευθύνσεων URL:

http://vulnerable.minio.server/?alive=[CMD_TO_EXECUTE]
http://vulnerable.minio.server/anything?alive=[CMD_TO_EXECUTE]

Στο περιστατικό που είδαν οι Security Joes, οι αναλυτές είδαν τους δράστες να χρησιμοποιούν αυτό το backdoor για να εκτελούν εντολές Bash και να κατεβάζουν Python scripts.

“Αυτό το τελικό σημείο λειτουργεί ως ενσωματωμένο backdoor, παρέχοντας σε μη εξουσιοδοτημένα άτομα τη δυνατότητα να εκτελούν εντολές στον υπολογιστή που εκτελεί την εφαρμογή”, εξηγούν οι ερευνητές.

“Ειδικότερα, οι εντολές που εκτελούνται κληρονομούν τα δικαιώματα συστήματος του χρήστη που ξεκίνησε την εφαρμογή. Σε αυτή την περίπτωση, λόγω ανεπαρκών πρακτικών ασφαλείας, ο μηχανικός DevOps που ξεκίνησε την εφαρμογή κατείχε δικαιώματα root-level”, προσθέτουν οι αναλυτές.

Το Security Joes αναφέρει ότι το backdoor στο Evil MinIO δεν εντοπίζεται από τις μηχανές της πλατφόρμας σάρωσης Virus Total, παρά το γεγονός ότι το εργαλείο δημοσιεύτηκε πριν από ένα μήνα.

Δραστηριότητα μετά τον συμβιβασμό

Έχοντας παραβιάσει το σύστημα αποθήκευσης αντικειμένων, οι δράστες δημιουργούν ένα κανάλι επικοινωνίας με τον server διοίκησης και ελέγχου (C2), από όπου αντλούν πρόσθετα φορτία που υποστηρίζουν τη δραστηριότητα μετά την παραβίαση.

Τα φορτία κατεβαίνουν στο Linux μέσω του ‘curl’ ή του ‘wget’ και στα Windows μέσω του ‘winhttpjs.bat’ ή του ‘bitsadmin’ και περιλαμβάνουν τα εξής:

  • System profiling script – συλλέγει πληροφορίες συστήματος, όπως στοιχεία χρήστη, μνήμη, cronjobs και χρήση δίσκου.
  • Αναγνωριστικό script δικτύου – προσδιορίζει προσβάσιμες διασυνδέσεις δικτύου, κεντρικούς υπολογιστές και θύρες.
  • Script δημιουργίας λογαριασμού Windows – δημιουργεί λογαριασμούς χρηστών στα παραβιασμένα συστήματα με όνομα είτε “support” είτε “servicemanager”.
  • Script σάρωσης PING – προσδιορίζει τα προσβάσιμα στοιχεία εντός του παραβιασμένου δικτύου χρησιμοποιώντας τη μονάδα asyncio Python.
  • China Chopper-like webshell – ένα webshell μιας γραμμής που παρουσιάζει ομοιότητες με το China Chopper.

Η Security Joes προειδοποιεί ότι υπάρχουν 52.125 περιπτώσεις MinIO εκτεθειμένες στο δημόσιο διαδίκτυο και περίπου το 38% από αυτές επιβεβαιώθηκε ότι εκτελούν μη ευάλωτη έκδοση λογισμικού.

Αυτό σημαίνει ότι οι διαχειριστές συστημάτων cloud θα πρέπει να κινηθούν γρήγορα για να εφαρμόσουν τη διαθέσιμη ενημερωμένη έκδοση ασφαλείας για να προστατεύσουν τα περιουσιακά τους στοιχεία από τους κακούς χειριστές του MinIO.

Διαβάστε επίσης: Anonymous Sudan: Χάκαραν το X για να πιέσουν τον Elon Musk

πηγή πληροφοριών:bleepingcomputer.com