Um ator de ameaças desconhecido foi observado explorando falhas de segurança de alta gravidade no sistema de armazenamento de objetos MinIO para alcançar a execução não autorizada de código em servidores afetados.
A empresa de resposta a incidentes e cibersegurança, Security Joes, afirmou que a intrusão utilizou uma cadeia de exploração publicamente disponível para comprometer a instância do MinIO.
As vulnerabilidades em questão são CVE-2023-28432 (com uma pontuação CVSS de 7.5) e CVE-2023-28434 (com uma pontuação CVSS de 8.8).
A primeira vulnerabilidade foi adicionada ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) em 21 de abril de 2023.
Essas duas vulnerabilidades possuem o potencial de expor informações sensíveis presentes na instalação comprometida e facilitar a execução remota de código (RCE) no host onde o aplicativo MinIO está operacional.
O que é evidente é que o ator da ameaça é proficiente em trabalhar com scripts bash e Python, além de aproveitar o acesso pela porta dos fundos para soltar cargas úteis adicionais de um servidor remoto para pós-exploração por meio de um script de downloader.