Security Joes 研究人员观察到,一个未知的威胁参与者利用 MinIO 对象存储系统中的漏洞的公开可用的漏洞利用链,在易受攻击的服务器上实现任意代码执行。
对象存储是一种数据存储架构,用于将非结构化数据存储到称为“对象”的单元中,并将它们存储在结构扁平的数据环境中。此类服务的领先提供商是 AWS、Google Cloud 和 Microsoft Azure。经过调查,Security Joes 研究人员发现该漏洞利用链之前并未在野外观察到,或者至少没有记录在案。“我们的团队在调查的一次攻击中观察到的一系列漏洞呈现出一种令人担忧的情况,攻击者有可能获得远程执行代码的能力,并完全控制运行易受攻击版本的高性能分布式对象存储系统的系统。称为 MinIO。该产品是一组更大的“尚不存在”的攻击向量的一部分,称为非本机对象存储服务。”该漏洞被称为 Evil_MinIO,使用 CVE-2023-28434(CVSS 评分:8.8)和CVE-2023-28432(CVSS 评分:7.5)漏洞。4 月,美国网络安全和基础设施安全局 (CISA) 将 MinIO 漏洞CVE-2023-28432添加到其已知利用漏洞目录中。远程攻击者可以利用这些缺陷来暴露存储在受损安装中的敏感信息,并促进 MinIO 应用程序运行的主机上的远程代码执行 (RCE)。攻击者可以触发问题,将精心设计的请求发送到端点“/minio/bootstrap/v1/verify”并检索易受攻击实例的管理凭据。
“利用过程从针对端点“/minio/bootstrap/v1/verify”的精心设计的请求开始,该请求允许攻击者获取应用程序使用的环境变量的值。这变得尤为重要,因为 MinIO 依赖环境变量来配置管理员凭据,从而加剧了漏洞的严重性。换句话说,通过一个请求,攻击者就可以检索易受攻击实例的管理员凭据。”mc admin update 命令更新部署中的所有 MinIO 服务器,它还支持在部署没有公共 Internet 访问的环境中使用私有镜像服务器。攻击者可以通过推送“邪恶”更新而不是真实的 MinIO 二进制文件来安排欺骗性更新。以下是在易受攻击的 MinIO 实例中远程执行任意代码的分步过程:专家指出,与Web shell部署不同,在MinIO攻击场景中,攻击者不会在磁盘上留下常规可疑脚本的痕迹据专家称,攻击背后的威胁参与者具有独特的特征,在使用 bash 脚本和 Python 方面拥有丰富的经验和专业知识。攻击者还展示了使用后门访问来删除用于后利用活动的补充有效负载的能力。
攻击者能够使用特定的下载器脚本来针对 Linux 和 Windows 系统。截至报告发布时,研究人员发现超过 50,000 个 MinIO 安装使用 Shodan 在线暴露。https://www.securityjoes.com/post/new-attack-vector-in-the-cloud-attackers-caught-exploiting-object-storage-services声明:仅供学习参考使用,请勿用作违法用途,否则后果自负
文章来源: https://mp.weixin.qq.com/s?__biz=MzA5ODA0NDE2MA==&mid=2649785486&idx=3&sn=95c626d048629578782a21e551dba236&chksm=8893b4e1bfe43df70b96c7b4de9513a8466bb6045a7682c5f35c8066da41ad5a76600a4f176e&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh