Un acteur malveillant inconnu a été observé en train d’exploiter des failles de sécurité de haute gravité dans le système de stockage d’objets hautes performances MinIO pour permettre l’exécution de code non autorisé sur les serveurs concernés.
La société de cybersécurité et de réponse aux incidents Security Joes a déclaré que l’intrusion exploitait une chaîne d’exploitation accessible au public pour ouvrir une porte dérobée à l’instance MinIO.
Le comprend CVE-2023-28432 (score CVSS : 7,5) et CVE-2023-28434 (score CVSS : 8,8), dont le premier a été ajouté au catalogue de vulnérabilités exploitées connues (KEV) de la US Cybersecurity and Infrastructure Security Agency (CISA) le 21 avril 2023.
Les deux vulnérabilités « possèdent le potentiel d’exposer des informations sensibles présentes dans l’installation compromise et facilitent l’exécution de code à distance (RCE) sur l’hôte sur lequel l’application MinIO est opérationnelle », Security Joes dit dans un rapport partagé avec The Hacker News.
Dans la chaîne d’attaque étudiée par l’entreprise, les failles auraient été utilisées par l’adversaire pour obtenir des informations d’identification d’administrateur et abuser de son emprise pour remplacer le client MinIO sur l’hôte par une version trojanisée en déclenchant une commande de mise à jour spécifiant une MIRROR_URL.
« La commande mc admin update met à jour tous les serveurs MinIO du déploiement », la documentation MinIO lit. « La commande prend également en charge l’utilisation d’un serveur miroir privé pour les environnements dans lesquels le déploiement n’a pas d’accès public à Internet. »
« Le point culminant de ces actions permet à l’attaquant d’orchestrer une mise à jour trompeuse », a déclaré Security Joes. « En remplaçant l’authentique binaire MinIO par son homologue « maléfique », l’attaquant scelle la compromission du système. »
Les modifications malveillantes du binaire exposent un point final qui reçoit et exécute des commandes via des requêtes HTTP, agissant effectivement comme une porte dérobée. Les commandes héritent des autorisations système de l’utilisateur qui a lancé l’application.
Détecter, Répondre, Protéger : ITDR et SSPM pour une sécurité SaaS complète
Découvrez comment Identity Threat Detection & Response (ITDR) identifie et atténue les menaces à l’aide de SSPM. Découvrez comment sécuriser vos applications SaaS d’entreprise et protéger vos données, même après une violation.
Il convient de noter que la version modifiée du binaire est une réplique d’un exploit nommé Mal MinIO qui a été publié sur GitHub début avril 2023. Cela dit, il n’existe aucune preuve suggérant un lien entre les deux.
Ce qui est évident, c’est que l’auteur de la menace maîtrise les scripts bash et Python, sans parler de l’accès par porte dérobée pour déposer des charges utiles supplémentaires depuis un serveur distant pour une post-exploitation via un script de téléchargement.
Le script, capable de cibler à la fois les environnements Windows et Linux, fonctionne comme une passerelle pour profiler les hôtes compromis, sur la base de laquelle il est déterminé si l’exécution doit être terminée ou non.
« Cette approche dynamique souligne l’approche stratégique des acteurs malveillants consistant à optimiser leurs efforts en fonction de la valeur perçue du système compromis », a déclaré Security Joes.