Se ha observado que un actor de amenazas desconocido utiliza fallas de seguridad de alta gravedad en el sistema de almacenamiento de objetos de alto rendimiento MinIO para lograr la ejecuci\u00f3n de c\u00f3digo no autorizado en los servidores afectados.<\/p>\n
La empresa de ciberseguridad y respuesta a incidentes Security Joes dijo que la intrusi\u00f3n aprovech\u00f3 una cadena de exploits disponible p\u00fablicamente para crear una puerta trasera a la instancia MinIO.<\/p>\n
el comprende CVE-2023-28432<\/a> (Puntuaci\u00f3n CVSS: 7,5) y CVE-2023-28434<\/a> (Puntuaci\u00f3n CVSS: 8,8), la primera de las cuales se agreg\u00f3 al cat\u00e1logo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el 21 de abril de 2023.<\/p>\n Las dos vulnerabilidades “poseen el potencial de exponer informaci\u00f3n confidencial presente dentro de la instalaci\u00f3n comprometida y facilitar la ejecuci\u00f3n remota de c\u00f3digo (RCE) en el host donde est\u00e1 operativa la aplicaci\u00f3n MinIO”, Security Joes dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n En la cadena de ataque investigada por la compa\u00f1\u00eda, se dice que el adversario utiliz\u00f3 las fallas como arma para obtener credenciales de administrador y abusar del punto de apoyo para reemplazar el cliente MinIO en el host con una versi\u00f3n troyanizada activando un comando de actualizaci\u00f3n que especifica un MIRROR_URL.<\/p>\n “El comando mc admin update actualiza todos los servidores MinIO en la implementaci\u00f3n”, la documentaci\u00f3n de MinIO lee<\/a>. “El comando tambi\u00e9n admite el uso de un servidor espejo privado para entornos donde la implementaci\u00f3n no tiene acceso p\u00fablico a Internet”.<\/p>\n “La culminaci\u00f3n de estas acciones permite al atacante orquestar una actualizaci\u00f3n enga\u00f1osa”, dijo Security Joes. “Al reemplazar el binario MinIO aut\u00e9ntico con su contraparte ‘malvada’, el atacante sella el compromiso del sistema”.<\/p>\n Las modificaciones maliciosas al binario exponen un punto final que recibe y ejecuta comandos a trav\u00e9s de solicitudes HTTP, actuando efectivamente como una puerta trasera. Los comandos heredan los permisos del sistema del usuario que inici\u00f3 la aplicaci\u00f3n.<\/p>\n Detectar, responder, proteger: ITDR y SSPM para una seguridad SaaS completa<\/p>\n <\/a><\/p>\n Descubra c\u00f3mo Identity ThreatDetection & Response (ITDR) identifica y mitiga las amenazas con la ayuda de SSPM. Aprenda c\u00f3mo proteger sus aplicaciones SaaS corporativas y proteger sus datos, incluso despu\u00e9s de una vulneraci\u00f3n. <\/p>\n Potencia tus habilidades<\/a><\/section>\n Vale la pena se\u00f1alar que la versi\u00f3n alterada del binario es una r\u00e9plica de un exploit llamado Malvado MinIO<\/a> que se public\u00f3 en GitHub a principios de abril de 2023. Dicho esto, no hay evidencia que sugiera una conexi\u00f3n entre los dos.<\/p>\n Lo que es evidente es que el actor de la amenaza es experto en trabajar con scripts bash y Python, sin mencionar que aprovecha el acceso de puerta trasera para soltar cargas \u00fatiles suplementarias desde un servidor remoto para su posterior explotaci\u00f3n a trav\u00e9s de un script de descarga.<\/p>\n El script, capaz de apuntar a entornos Windows y Linux, funciona como una puerta de enlace para perfilar los hosts comprometidos, en funci\u00f3n del cual se determina si la ejecuci\u00f3n debe finalizar o no.<\/p>\n “Este enfoque din\u00e1mico subraya el enfoque estrat\u00e9gico del actor de amenazas al optimizar sus esfuerzos en funci\u00f3n del valor percibido del sistema comprometido”, dijo Security Joes.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-malware-para-Android-Infame-Chisel-respaldado-por-el-Estado.png\")
<\/a><\/center><\/section>\n![\"Vulnerabilidad](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhtxGNZXuVuVVEjMfgBCof2eB4K4Q_wTRfnUz76yNe2sxsfMGdrUrIYwTREDPstpq-lezu9lCUrBctxUJ4Ys7vYgTqvZGLG_JEh2qHN94NjjaDVdZJWbufznrycG3R-Oj3nRrv6-gSDF4oJmbO56zeTjUd-q7Unka3zJ0mSPR71YXXCvA-vDXyrOTLhggSS\/s728-e3650\/mini.jpg\" "\\"Vulnerabilidad")
<\/div>\n![\"Vulnerabilidad](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgZOIwjwz8Pc0e0gGfarkAZ-2lBiPHk73c14zuMYodOis8OGDSzPQdgKQZu3c6MdLOJpTb2gwG0vALlSVs2i3LZOPyZUfcYLzsuozxa3XVt4SR1Kw1QFP8ImRhgKn61aimfmaZX0hX43ihCyJvn9Shrf78vQgdMWrl-2lNBXWadOym3AaASxKc7aQFRI2n_\/s728-e3650\/shodan.jpg\" "\\"Vulnerabilidad")
<\/div>\n