Security Joesは9月4日(現地時間)、「New Attack Vector In The Cloud: Attackers caught exploiting Object Storage Services」において、サイバー攻撃者によるオブジェクトストレージサービス「MinIO」の悪用が確認されたとして、注意を呼び掛けた。悪用されたMinIOは2つの脆弱性がある古いバージョンとされる。

  • New Attack Vector In The Cloud: Attackers caught exploiting Object Storage Services

    New Attack Vector In The Cloud: Attackers caught exploiting Object Storage Services

Security Joesは、この件について詳細な分析結果を報告している。以下がその要約。

  1. 攻撃者はとあるDevOps(開発および運用)エンジニアをソーシャルエンジニアリングにより説得し、MinIOを脆弱なバージョンにダウングレードさせた
  2. Security Joes MDRチームは特注の自動化システムによって攻撃者のコマンドを阻止し、その後IRチームに引き継いだ
  3. IRチームはRedチームとともにMinIOインスタンスとバイナリを調査し、getOutputDirectly()と呼ばれる組み込みコマンドシェル関数で武器化されていることを突き止めた
  4. さらに調査を進めると、MinIOを悪用するための不具合について解説しているevil_minioというGithubリポジトリを見つけた
  5. evil_minioは2つの脆弱性CVE-2023-28432とCVE-2023-28434を悪用している
  6. 攻撃者のコマンド&コントロール(C2: Command and Control)サーバとこれら不具合の詳細な分析により、脅威アクターの特徴と被害者像が明らかになった

Security Joesの最高経営責任者(CEO: Chief Executive Officer)はこの件について、「重要なのはオープンソースソリューションが同等のソリューションに比べて本質的に信頼性が低い、または劣っていると伝えることではない。強調すべきは関連するリスクを理解し、管理すること。オープンソースソリューションのコストの低さは潜在的なセキュリティの影響としばしば相殺されるため、開発段階において明確で強力なDevSecOps(開発、セキュリティ、運用)の原則に従うことが重要」としている。オープンソースだから脆弱なのではなく、それを利用する開発、運用、セキュリティ体制にこそ注意すべき点があると指摘している。

また、Security JoesはMinIOのような非正規のオブジェクトストレージソリューションの利用について、これは柔軟性、拡張性およびベンダへの依存からの解放などの利点を提供してくれるが同時にセキュリティ上のリクスも伴うとして、セキュリティのベストプラクティスに焦点を当てた取り組みを推奨している。

今回問題となった2つの脆弱性は、MinIOバージョンRELEASE.2023-03-20T20-16-18Z以降で修正されている。該当するバージョンを利用している場合は、速やかに更新することが望まれている。