Son raporlar, MinIO’da bilgilerin ifşa edilmesi ve uzaktan kod yürütülmesiyle ilgili iki güvenlik açığına işaret ediyor ve bunların kavram kanıtları kamuya açıklandı.
Tehdit aktörleri yerel olmayan bir çözüme güvendi ve bu güvenlik açıklarından nispeten kolay bir şekilde yararlandı. Bu güvenlik açıkları, Amazon S3 bulut depolama hizmeti olan MinIO’da mevcuttu.
MinIO, Amazon S3 API’sini kullanan açık kaynaklı, yüksek performanslı bir Nesne depolama hizmetidir. Bulutta yerel uygulamalar ve yedekleme veya arşivleme için kullanılabilecek uygun maliyetli bir depolama çözümü olarak kabul edilir.
Ayrıca uyarlanabilirlik için kullanılabilecek RESTful API ve AWS Komut Satırı Arayüzüne (CLI) sahiptir.
CVE-2023-28434 ve CVE-2023-28432
Cyber Security News ile paylaşılan raporlara göre istismar için en çok kullanılan iki güvenlik açığı CVE-2023-28434 ve CVE-2023-28432 oldu. Bu güvenlik açıklarının ciddiyeti 7,5 (Yüksek) ve 8,8 (Yüksek), sırasıyla.
Bir tehdit aktörü, bir grup adı kontrolünü atlamak ve herhangi bir S3 klasörüne bir nesne koymak için CVE-2023-28434’ten yararlanabilir. Posta Politikası Paketi işleniyor.
Ancak bu güvenlik açığından yararlanmanın önkoşulları vardır; bunlar arasında “arn:aws:s3:::*” iznine sahip kimlik bilgileri ve konsol API erişiminin etkinleştirilmesi yer alır.
CVE-2023-28432, RELEASE.2019-12-17T23-16-33Z’de ve RELEASE.2023-03-20T20-16-18Z öncesindeki küme dağıtımındaki bir kusur nedeniyle bilginin açığa çıkması güvenlik açığıyla ilgilidir.
Bu MinIO dağıtımları, aşağıdakiler dahil tüm değişkenleri döndürür: `MINIO_SECRET_KEY‘ ve MINIO_ROOT_PASSWORD, Tehdit aktörleri tarafından kötü amaçlarla kullanılabilir.
Bu güvenlik açıklarına yönelik bir kavram kanıtı içeren evil_minio adı altındaki GitHub deposunun kamuya açıklanması, saldırganlar ile yayıncı arasında herhangi bir ilişki olduğu şüphesini artırdı.
Güvenlik Joes tarafından, kötüye kullanım, güvenlik ihlali göstergeleri ve tespit için YARA kuralları hakkında ayrıntılı bilgi sağlayan soruşturmayla ilgili eksiksiz bir rapor yayınlandı.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.