Недавно команде Security Joes Incident Response стало известно о наборе относительно новых CVE, которые были выпущены в конце марта 2023 года. Удивительно, но эти уязвимости практически не освещались в СМИ в связи с простотой их эксплуатации и потенциальными последствиями для безопасности любого кластера, использующего неродное объектное хранилище.
Объектное хранилище - это архитектура хранения неструктурированных данных, которая разделяет данные на единицы - объекты - и хранит их в структурно плоской среде данных. Современные организации создают и анализируют большие объемы неструктурированных данных, таких как фотографии, видео, электронная почта, веб-страницы, данные датчиков и аудиофайлы. Основными игроками, предоставляющими такие услуги, являются: AWS, Google Cloud и Microsoft Azure. В качестве основного хранилища они используют объектные хранилища, такие как AWS S3, Google Cloud Storage и Azure Blob Storage. Однако на рынке существуют и другие решения, которые находят широкое применение.
Проведя исследование, Security Joes обнаружили, что конкретная цепочка эксплойтов, на которую Security Joes наткнулись, ранее не встречалась в природе или, по крайней мере, не была задокументирована, что делает этот случай первым свидетельством того, что злоумышленники используют такие неродные решения. Было удивительно обнаружить, что эти продукты могут иметь такой относительно простой в эксплуатации набор новых критических уязвимостей, что делает их привлекательным вектором атаки, который может быть найден злоумышленниками через поисковые системы в Интернете. Более того, непосредственный эффект, связанный с этой специфической атакой, по сравнению с традиционными Webshell, вызывает еще большее беспокойство.
Цепочка уязвимостей, обнаруженных Security Joes в ходе расследованной атаки, представляет собой тревожную ситуацию, когда злоумышленники потенциально могут получить возможность удаленного выполнения кода и полный контроль над системами, работающими под управлением уязвимых версий высокопроизводительной и распределенной системы хранения объектов MinIO. Этот продукт является частью более крупного набора "несуществующих" векторов атак, называемых Non-native Object Storage Services.
- Злоумышленники убедили пострадавшего DevOps-инженера обновить Non-native Object Storage Service (MinIO) до уязвимой версии.
- Сотрудники Security Joes IR исследовали экземпляр MinIO и его бинарные файлы и определили, что в нем используется встроенная функция командной оболочки GetOutputDirectly()
- Дальнейшее изучение полученных результатов привело к репозиторию GitHub, где исследователь уязвимостей описывает цепочку эксплойтов и способы их использования для эксплуатации MinIO. Пользователь назвал ее Evil_MinIO
- Evil_MinIO использует CVE-2023-28434 и CVE-2023-28432
- Глубокий анализ C2-сервера и цепочки эксплойтов позволяет выявить характеристики угрожающих агентов и виктимологию
Indicators of Compromise
IPv4
- 5.183.95.88
SHA256
- 0e084eb83954a090d83730b157f20549cf90b9d0206f5fd0bbcff009788eeafd
- 1ef7419804e401fbb3860862c2b2fbc1ec3c4650fe24fb44f787f81acf6ad65b
- 2d77062fb28bb7a299dcb8fa4ed62503d19ea6b8bd14e4f7ec78c54b9d08f052
- 42aaacf6871108a45e1ae8ede15bc7cdcb9cf9ede067059524ba8d3b8928e91c
- 6b46cf38c45ad81dfcbbd77a1b196c5dea147088f6dab1b1920a508d61bb03ed
- 9698d561de233038cf922b0de4a0bbb8e5723c800b4bc04c7ac82d92cb715dfd
- 9e1a2a068af2524d2abc48c1edf46de8cfa3329d3688164db5969bc1914377fc
- b14a23d0d77a45f4df4889b0c2d239fb118f9d16f944571a8b4d08603d16fb41
- d4cf68e351992fc32021c75820f7d2a858796dd9dc245b7fbbf2cef8656081b2
- d56c63cc53ed72a879f224ab85019db5fc2c30e8f193c1147975d46e3f5d913a
- eadde565b44e35608447b056761ba172b608b796418ab1244607dc17d21f05e3
- fc7909c24b2bb7f42648c605deacb3ae4f9574b95a562dd165e5e9aca2cc7d74
- fffa85e27836fd556a06660ac0ad76a35ef02687652a81194821c538e847d58f
