网络安全和事件响应公司 Security Joes 表示,攻击利用了公开可用的利用链在 MinIO 实例中安装后门。该利用链由CVE-2023-28432(CVSS评分7.5)和CVE-2023-28434(CVSS评分8.8)组成,而前者已在2023年4月1日被列入CISA必修清单。这两个漏洞“可能或暴露位于受陷程序中的敏感信息并在运行 MinIO 应用运行的主机上实现远程代码执行。” 在所调查的攻击链中,这些缺陷被用于获取管理员凭据并借此,触发指定 MIRROR_URL的更新命令的方式,用木马版本替换主机上的 MinIO 客户端。MinIO 文档指出,“mc admin 更新命令更新了部署中的所有 MinIO 服务器。该命令还支持在不具有公开网络访问权限的部署的环境中使用非公开镜像服务器。” Security Joes 公司提到,“这些措施可使攻击者协调欺骗性更新。通过恶意版本替换真实的 MinIO 二进制,攻击系统。” 对该二进制的恶意修改暴露了通过HTTP请求接收并执行命令的端点,实际上是用作后门。这些命令继承了启动该应用的用户的系统权限。值得注意的是,该被修改的二进制是对 Evil MinIO 的复制,后者在2023年4月初于 GitHub 平台发布。话虽如此,但未有证据表明两者之间存在关联。 很显然的一点是,威胁行动者在 bash 脚本和 Python 方面十分熟练,更不用说利用后门访问权限从远程服务器释放 payload,通过下载器脚本用于利用后阶段。该脚本能够攻击 Windows 和 Linux 环境,作为配置受陷主机的网关,从而判断执行是否必须终止。 Security Joes 指出,“这种动态方式强调了威胁者基于受陷系统预期价值优化投入的战略方法。”
原文始发于微信公众号(代码卫士):黑客利用 MinIO 存储系统漏洞攻陷服务器
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论