Evil MinIO

MinIOは、Go言語で実装されたAmazon S3クラウド・ストレージ・サービスと互換性のあるオブジェクト・ストレージ・サーバーです。
ローカルでのアプリケーション開発を実施する際、できるだけ外部のサービスに依存させずに進めたい場合があります。
通常のAPIの利用などの場合、比較的モックの準備が容易なのでよいのですが、S3をストレージとして利用するようなソフトウェアの場合、そのS3部分をローカル用に用意することは容易ではありません。
そのような場合に、このMinIOを使うことができます。

こんな背景があり、MinIOが使われている開発現場は多くあります。
多く使われているソフトウェアは多くの人が注目するものといえますが、注目するのは健全な人だけとは限りません。
悪意を持った人も注目します。
そして、MinIOの周辺にも、そういった人が現れています。

• Evil MinIO
  GitHubで公開されているMinIOのマルウェアです。
  CVE-2023-28434の脆弱性を悪用するコードが含まれているものになっていて、これによりリモートコード実行が可能になっています。
  一緒にCVE-2023-28434の脆弱性も悪用されます。こちらは情報漏洩の脆弱性です。
  MinIOの機能もそのままに動作するのですが、このマルウェアが動作した状態では、MinIOは脆弱性のある古いバージョンの状態になります。
• バックドアとして動作
  仕込みの完了したEvil MinIOは、通常のMinIOとしての動作のほかに、バックドアとしての機能も持った状態になります。
  外部からファイルを取得することができますし、コマンドを実行する機能もあります。
  そしてこれらの活動は元のMinIOの動作権限のままで動作します。
  元々の設置が適切に権限分離されている場合はその小さな権限でマルウェアが動作することとなるのですが、rootで動作するように設置されていた場合はマルウェアもroot権限で動作します。
  root権限で動作するバックドアです。痺れます。
• 侵入後の活動
  ファイルの入手とコマンド実行ができますので、基本的に何でもできるわけですが、次のような活動が実施されます。
  ユーザ情報やcronジョブ内容の確認、メモリ状態やディスク使用料状態などのシステム状態の収集、ネットワークインターフェイスの状態の収集、Windowsアカウントの追加作成、侵害環境内での横展開のためのpingの実施、China Chopperに似たWebシェルの実行、などです。

MinIOに限った話ではありませんが、適切なタイミングで更新されていないソフトウェアが多く存在しています。
バージョンが低いことが影響する内容が機能的なバグのみであれば、そのバグが存在することを許容できれば、バージョンが低いままでもよいという判断もあるかもしれません。
しかし、バージョンが低いことが影響する内容に脆弱性が含まれる場合は、そうでない場合と同様に考えることはできそうにありません。
あまりにも危険です。

ソフトウェア設置時に正しい設定が行われているのかの確認や、適切なタイミングでの更新、こういったことが実施できているかを手元の環境で確認しておこうと思います。

参考記事（外部リンク）：New Attack Vector In The Cloud: Attackers caught exploiting
Object Storage Services
www.securityjoes.com/post/new-attack-vector-in-the-cloud-attackers-caught-exploiting-object-storage-services