Un acteur malveillant inconnu a été observé en train d’exploiter des failles de sécurité de haute gravité dans le système de stockage d’objets hautes performances MinIO pour permettre l’exécution de code non autorisé sur les serveurs concernés.
La société de cybersécurité et de réponse aux incidents Security Joes a déclaré que l’intrusion exploitait une chaîne d’exploitation accessible au public pour ouvrir une porte dérobée à l’instance MinIO.
Il comprend CVE-2023-28432 (score CVSS : 7,5) et CVE-2023-28434 (score CVSS : 8,8), le premier ayant été ajouté au catalogue de vulnérabilités exploitées connues (KEV) de la US Cybersecurity and Infrastructure Security Agency (CISA). le 21 avril 2023.
Les deux vulnérabilités « possèdent le potentiel d’exposer des informations sensibles présentes dans l’installation compromise et de faciliter l’exécution de code à distance (RCE) sur l’hôte sur lequel l’application MinIO est opérationnelle », a déclaré Security Joes dans un rapport partagé avec The Hacker News.
Dans la chaîne d’attaque étudiée par l’entreprise, les failles auraient été utilisées par l’adversaire pour obtenir des informations d’identification d’administrateur et abuser de son emprise pour remplacer le client MinIO sur l’hôte par une version trojanisée en déclenchant une commande de mise à jour spécifiant une MIRROR_URL.
« La commande mc admin update met à jour tous les serveurs MinIO du déploiement », indique la documentation MinIO. « La commande prend également en charge l’utilisation d’un serveur miroir privé pour les environnements dans lesquels le déploiement n’a pas d’accès public à Internet. »
« Le point culminant de ces actions permet à l’attaquant d’orchestrer une mise à jour trompeuse », a déclaré Security Joes. « En remplaçant l’authentique binaire MinIO par son homologue « maléfique », l’attaquant scelle la compromission du système. »
Les modifications malveillantes du binaire exposent un point final qui reçoit et exécute des commandes via des requêtes HTTP, agissant effectivement comme une porte dérobée. Les commandes héritent des autorisations système de l’utilisateur qui a lancé l’application.
Il convient de noter que la version modifiée du binaire est une réplique d’un exploit nommé Evil MinIO qui a été publié sur GitHub début avril 2023. Cela dit, il n’y a aucune preuve suggérant un lien entre les deux.
Ce qui est évident, c’est que l’auteur de la menace maîtrise les scripts bash et Python, sans parler de l’accès par porte dérobée pour déposer des charges utiles supplémentaires depuis un serveur distant pour une post-exploitation via un script de téléchargement.
Le script, capable de cibler à la fois les environnements Windows et Linux, fonctionne comme une passerelle pour profiler les hôtes compromis, sur la base de laquelle il est déterminé si l’exécution doit être terminée ou non.
« Cette approche dynamique souligne l’approche stratégique des acteurs malveillants consistant à optimiser leurs efforts en fonction de la valeur perçue du système compromis », a déclaré Security Joes.
