Bulutta, siber suçluların uzaktan kod yürütmesine ve MinIO adı verilen dağıtılmış nesne depolama sistemini çalıştıran sistemler üzerinde tam kontrol sahibi olmasına olanak tanıyan yepyeni bir saldırı vektörü ortaya çıktı.
MinIO, şirketlerin fotoğraflar, videolar, günlük dosyaları, yedeklemeler ve konteyner görüntüleri gibi yapılandırılmamış verileri yönetmesine olanak tanıyan Amazon S3 bulut depolama hizmetiyle uyumlu bir açık kaynak teklifidir. Security Joes’taki araştırmacılar yakın zamanda tehdit aktörlerinin kurumsal bir ağa sızmak için platformdaki bir dizi kritik güvenlik açığından (CVE-2023-28434 ve CVE-2023-28432) yararlandığını gözlemledi.
Security Joes’a göre, “Karşılaştığımız belirli istismar zinciri daha önce doğada gözlemlenmemişti veya en azından belgelenmemişti, bu da bu tür yerel olmayan çözümlerin saldırganlar tarafından benimsendiğini gösteren ilk kanıt örneği haline geldi.” “Bu ürünlerin, yeni kritik güvenlik açıklarından bu kadar kolaylıkla yararlanabildiğini ve bu durumun onları tehdit aktörleri tarafından çevrimiçi arama motorları aracılığıyla bulunabilen cazip bir saldırı vektörü haline getirdiğini keşfetmek şaşırtıcıydı.”
Saldırıda siber suçlular, MinIO’yu etkili bir şekilde arka kapı işlevi gören yeni bir sürüme güncellemek için bir DevOps mühendisini kandırdı. Security Joe’nun olay müdahale ekipleri, güncellemenin, Mart ayında açıklanan iki güvenlik açığı için “GetOutputDirectly()” adı verilen yerleşik bir komut kabuğu işlevi ve uzaktan kod yürütme (RCE) açıkları içeren MinIO’nun silahlı bir sürümü olduğunu belirledi.
Dahası, bubi tuzaklı bu sürümün GitHub deposunda “Evil_MinIO” adı altında mevcut olduğu ortaya çıktı. Security Joes araştırmacıları, bu özel saldırının RCE ve devralma aşamasından önce durdurulmasına rağmen, şeytani ikiz yazılımın varlığının, kullanıcıları özellikle yazılım geliştiricilere yönelik gelecekteki saldırılara karşı dikkatli olmaları konusunda uyarması gerektiğini belirtti. Başarılı bir saldırı, hassas kurumsal bilgileri ve fikri mülkiyeti açığa çıkarabilir, dahili uygulamalara erişime izin verebilir ve saldırganların kuruluşların altyapısına daha derinlemesine nüfuz etmesine neden olabilir.
Security Joes’un soruşturmayla ilgili blog yazısına göre, “Yazılım geliştirme yaşam döngüsünün tamamında güvenliğin büyük önemini açıkça tanımamak, kritik bir gözetim teşkil ediyor.” “Böyle bir ihmal, bir kuruluşu potansiyel olarak önemli risklere maruz bırakabilir. Bu riskler hemen gerçekleşmese de, gölgelerde gizlenerek, istismar için doğru fırsatı bekliyor.”