Атака на MinIO: пересмотрите свои стратегии безопасности прежде, чем стать следующей жертвой

Как сообщила сегодня компания Security Joes, специализирующаяся на кибербезопасности, неизвестные хакеры активно эксплуатируют критические уязвимости в популярной системе хранения данных MinIO. Целью атак стало несанкционированное выполнение кода на скомпрометированных серверах.

Для проникновения используется публично доступная эксплойт-цепочка, включающая уязвимости CVE-2023-28432 (оценка опасности CVSS 7.5) и CVE-2023-28434 (оценка опасности CVSS 8.8). По словам экспертов Security Joes, эти уязвимости позволяют получить доступ к конфиденциальным данным на скомпрометированных серверах и осуществить удалённое выполнение кода там, где запущено приложение MinIO.

В ходе расследования компания обнаружила, что злоумышленники использовали описанные выше уязвимости, чтобы получить права администратора и подменить оригинальный клиент MinIO на заражённую версию. Для этого они воспользовались командой обновления клиента, указав вредоносное зеркало в качестве источника обновления.

Это позволило им скрытно заменить подлинный бинарник MinIO на модифицированный вариант со встроенной бэкдор-функциональностью, получающий команды от злоумышленников напрямую по HTTP-протоколу.

По данным Security Joes, изменённый бинарник является копией публично доступного эксплойта Evil MinIO , опубликованного на GitHub в начале апреля этого года. Однако прямой связи между ними обнаружено не было.

Судя по всему, злоумышленники обладают высокой квалификацией в написании скриптов на bash и Python и используют бэкдор для загрузки дополнительных вредоносных программ.

С помощью специального скрипта они профилируют скомпрометированные хосты и определяют ценность полученного доступа для дальнейшей атаки. Это свидетельствует об их продуманном и стратегическом подходе к проведению своих вредоносных операций.