Hackers aprovechan vulnerabilidades del sistema de almacenamiento MinIO para comprometer los servidores

Un actor no identificado ha sido detectado utilizando vulnerabilidades críticas en el sistema de almacenamiento de objetos de alto rendimiento MinIO para lograr la ejecución no autorizada de código en servidores afectados.

La empresa de ciberseguridad y respuesta a incidentes Security Joes informó que la intrusión se llevó a cabo mediante una cadena de exploits de acceso público para instalar una puerta trasera en la instancia de MinIO.

Las vulnerabilidades en cuestión son CVE-2023-28432 (con una calificación CVSS de 7.5) y CVE-2023-28434 (con una calificación CVSS de 8.8), siendo la primera de ellas añadida al catálogo de Vulnerabilidades Conocidas Explotadas (KEV) de la Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) el 21 de abril de 2023.

De acuerdo con un informe por parte de Security Joes, estas dos vulnerabilidades «tienen el potencial de exponer información sensible presente en la instalación comprometida y permitir la ejecución remota de código (RCE) en el host donde se encuentra operativa la aplicación MinIO».

En el proceso de ataque investigado por la compañía, se informa que las vulnerabilidades fueron utilizadas por el atacante para obtener credenciales de administrador y aprovechar esa posición para sustituir el cliente MinIO en el host por una versión alterada, activando un comando de actualización que especifica una MIRROR_URL.

«El comando de actualización ‘mc admin update’ actualiza todos los servidores MinIO en la implementación. Este comando también admite el uso de un servidor espejo privado para entornos en los que la implementación no tenga acceso a Internet público», según se detalla en la documentación de MinIO.

Security Joes explicó: «El resultado de estas acciones permite que el atacante orqueste una actualización engañosa. Al reemplazar el binario MinIO genuino por su versión ‘maliciosa’, el atacante asegura la comprometida del sistema».

Las modificaciones maliciosas en el binario exponen un punto de entrada que recibe y ejecuta comandos a través de solicitudes HTTP, funcionando efectivamente como una puerta trasera. Los comandos heredan los permisos del sistema del usuario que inició la aplicación.

Es relevante mencionar que la versión alterada del binario es una réplica de un exploit denominado «Evil MinIO» que se publicó en GitHub a principios de abril de 2023. Sin embargo, no existe evidencia que sugiera una conexión entre ambos.

Lo que es evidente es que el actor de amenazas es hábil en el uso de scripts bash y Python, además de aprovechar el acceso a la puerta trasera para cargar componentes adicionales desde un servidor remoto para la post-explotación mediante un script de descarga.

Este script, que puede dirigirse tanto a entornos Windows como Linux, sirve como un punto de entrada para analizar los hosts comprometidos, en función de lo cual se decide si se debe o no poner fin a la ejecución.

Security Joes señaló: «Este enfoque dinámico resalta la estrategia del actor de amenazas para optimizar sus esfuerzos en función del valor percibido del sistema comprometido».

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *