Les pirates exploitent deux vulnérabilités récentes de MinIO pour pirater les systèmes de stockage d’objets et accéder à des informations privées, exécuter du code arbitraire et potentiellement prendre le contrôle des serveurs.

MinIO est un service de stockage d’objets open source offrant une compatibilité avec Amazon S3 et la possibilité de stocker des données non structurées, des journaux, des sauvegardes et des images de conteneurs d’une taille allant jusqu’à 50 To.

Ses hautes performances et sa polyvalence, en particulier pour les applications d’IA/ML et de lac de données à grande échelle, font de MinIO un choix populaire et rentable.

Les deux vulnérabilités trouvées enchaînées dans les attaques menées par les intervenants de Security Joes sont CVE-2023-28432 et CVE-2023-28434, deux problèmes de haute gravité affectant toutes les versions de MinIO avant la RELEASE.2023-03-20T20-16-18Z.

Les deux vulnérabilités ont été divulguées et corrigées par le fournisseur le 3 mars 2023.

Attaques maléfiques de MinIO
Lors d’un engagement de réponse à un incident, les analystes de Security Joes ont découvert que des attaquants avaient tenté d’installer une version modifiée de l’application MinIO, nommée Evil MinIO, disponible sur GitHub.

Dans le cadre de l’attaque, Evil MinIO enchaîne à la fois la divulgation d’informations CVE-2023-28432 et les failles CVE-2023-28434 pour remplacer le logiciel MinIO par un code modifié qui ajoute une porte dérobée accessible à distance.

L’attaque a commencé lorsque les attaquants ont effectué de l’ingénierie sociale pour convaincre un ingénieur DevOPS de passer à une version antérieure du logiciel MinIO affectée par les deux vulnérabilités.

Une fois installé, les pirates ont exploité le CVE-2023-28432 pour accéder à distance aux variables d’environnement du serveur, notamment les variables MINIO_SECRET_KEY et MINIO_ROOT_PASSWORD.

Ces informations d’identification administratives permettent aux pirates informatiques d’accéder à la console d’administration MinIO à l’aide du client MinIO. À l’aide de ce client, les acteurs malveillants modifient l’URL de la mise à jour logicielle en celle qu’ils contrôlent, pour diffuser une mise à jour malveillante.

Dans le cadre de ce processus, la chaîne d’exploitation utilise la faille CVE-2023-28434 pour remplacer le fichier de code source .go légitime par un fichier falsifié.

Cette mise à jour malveillante est identique à l’application légitime MinIO mais contient du code supplémentaire qui permet d’exécuter des commandes à distance sur un serveur compromis via les URL suivantes :

http://vulnerable.minio.server/?alive=[CMD_TO_EXECUTE]
http://vulnerable.minio.server/anything?alive=[CMD_TO_EXECUTE]
Fonction qui reçoit et exécute des commandes

Lors de l’incident observé par Security Joes, les analystes ont vu les acteurs de la menace utiliser cette porte dérobée pour exécuter des commandes Bash et télécharger des scripts Python.

Activité observée sur le point de terminaison piraté

« Ce point final fonctionne comme une porte dérobée intégrée, accordant à des personnes non autorisées la possibilité d’exécuter des commandes sur l’hôte exécutant l’application », expliquent les chercheurs.

« Notamment, les commandes exécutées héritent des autorisations système de l’utilisateur qui a lancé l’application. Dans ce cas, en raison de pratiques de sécurité inadéquates, l’ingénieur DevOps qui a lancé l’application détenait des autorisations au niveau racine », ont ajouté les analystes.

Security Joes rapporte que la porte dérobée d’Evil MinIO n’est pas détectée par les moteurs de la plateforme d’analyse Virus Total, malgré la publication de l’outil il y a un mois.

Fonctionnalité de porte dérobée

Activité post-compromis
Après avoir violé le système de stockage d’objets, les attaquants établissent un canal de communication avec le serveur de commande et de contrôle (C2) à partir duquel il récupère des charges utiles supplémentaires qui prennent en charge l’activité post-compromission.

Les charges utiles sont téléchargées sous Linux via « curl » ou « wget » et sous Windows via « winhttpjs.bat » ou « bitsadmin », et incluent les éléments suivants :

  • Script de profilage du système – collecte des informations système telles que les détails de l’utilisateur, la mémoire, les tâches cron et l’utilisation du disque.
  • Script de reconnaissance du réseau – identifie les interfaces réseau, les hôtes et les ports accessibles.
  • Script de création de compte Windows – crée des comptes d’utilisateurs sur les systèmes compromis nommés « support » ou « servicemanager ».
  • Script d’analyse PING – identifie les actifs accessibles au sein du réseau compromis à l’aide du module asyncio Python.
  • Webshell de type China Chopper – un webshell d’une seule ligne qui présente des similitudes avec China Chopper.

Security Joes prévient qu’il existe 52 125 instances MinIO exposées sur l’Internet public et qu’il a été confirmé qu’environ 38 % d’entre elles exécutent une version logicielle non vulnérable.

Cela dit, les administrateurs de systèmes cloud doivent agir rapidement pour appliquer la mise à jour de sécurité disponible afin de protéger leurs actifs contre les opérateurs Evil MinIO.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *