Un tout nouveau vecteur d'attaque est apparu dans le cloud, permettant aux cybercriminels d'exécuter du code à distance et de prendre le contrôle total des systèmes exécutant le système de stockage d'objets distribué appelé MinIO.
MinIO est une offre open source compatible avec le Service de stockage cloud Amazon S3, qui permet aux entreprises de gérer des données non structurées telles que des photos, des vidéos, des fichiers journaux, des sauvegardes et des images de conteneurs. Les chercheurs de Security Joes ont récemment observé des acteurs malveillants utilisant un ensemble de vulnérabilités critiques dans la plateforme (CVE-2023-28434 ainsi que CVE-2023-28432) pour infiltrer un réseau d'entreprise.
"La chaîne d'exploitation spécifique sur laquelle nous sommes tombés n'a pas été observée auparavant, ni du moins documentée, ce qui en fait la première preuve montrant que de telles solutions non natives sont adoptées par des attaquants", selon Security Joes. « Il a été surprenant de découvrir que ces produits pouvaient être aussi relativement faciles à exploiter en ce qui concerne un nouvel ensemble de vulnérabilités critiques, ce qui en fait un vecteur d'attaque attrayant qui peut être trouvé par les acteurs malveillants via les moteurs de recherche en ligne. »
Lors de l'attaque, les cybercriminels ont trompé un ingénieur DevOps pour mettre à jour MinIO vers une nouvelle version qui fonctionnait efficacement comme une porte dérobée. Les intervenants de Security Joes ont déterminé que la mise à jour était une version militarisée de MinIO contenant une fonction shell de commande intégrée appelée « GetOutputDirectly() » et des exploits d'exécution de code à distance (RCE) pour les deux vulnérabilités, qui ont été divulguées en mars.
De plus, il s'avère que cette version piégée est disponible dans un référentiel GitHub sous le surnom de « Evil_MinIO ». Les chercheurs de Security Joes ont noté que même si cette attaque particulière a été stoppée avant l'étape de RCE et de prise de contrôle, l'existence du logiciel jumeau maléfique devrait avertir les utilisateurs et les inciter à surveiller de futures attaques, en particulier contre les développeurs de logiciels. Une attaque réussie pourrait exposer des informations sensibles et la propriété intellectuelle de l'entreprise, permettre l'accès aux applications internes et inciter les attaquants à s'introduire plus profondément dans l'infrastructure des organisations.
"Ne pas reconnaître explicitement l'importance primordiale de la sécurité tout au long du cycle de vie du développement logiciel constitue une erreur critique", selon Article de blog de Security Joes sur l'enquête. « Une telle négligence peut potentiellement exposer une organisation à des risques importants. Même si ces risques ne sont peut-être pas immédiats, ils se cachent dans l’ombre, en attendant la bonne opportunité d’exploitation.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- GraphiquePrime. Élevez votre jeu de trading avec ChartPrime. Accéder ici.
- Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
- La source: https://www.darkreading.com/cloud/minio-attack-corporate-cloud-attack-vector
- :possède
- :est
- :ne pas
- $UP
- 51
- 7
- a
- accès
- Selon
- à travers
- acteurs
- adopté
- à opposer à
- permettre
- Permettre
- permet
- an
- ainsi que
- applications
- SONT
- AS
- At
- attaquer
- Attaques
- disponibles
- attente
- détourné
- sauvegardes
- BE
- before
- va
- Blog
- intégré
- by
- appelé
- CAN
- chaîne
- le cloud
- stockage cloud
- code
- Sociétés
- compatible
- Contenant
- des bactéries
- Entreprises
- pourriez
- critique
- Cyber-attaque
- les cybercriminels
- données
- profond
- déterminé
- mobiles
- Développement
- découvrez
- distribué
- Easy
- de manière efficace
- émergé
- ingénieur
- Moteurs
- alléchantes
- intégralité
- notamment
- preuve
- exécuter
- exécution
- existence
- Exploiter
- exploitation
- exploits
- défaut
- Fichiers
- Prénom
- Pour
- trouvé
- fraiche entreprise
- plein
- fonction
- avenir
- GitHub
- manipuler
- Vous avez
- HTTPS
- satellite
- Immédiat
- importance
- in
- incident
- d'information
- Infrastructure
- instance
- intellectuel
- propriété intellectuelle
- interne
- développement
- enquête
- IT
- jpg
- au
- vos produits
- comme
- enregistrer
- Fabrication
- Mars
- pourrait
- réseau et
- Nouveauté
- nist
- non-natif
- noté
- Remarquer..
- objet
- of
- on
- en ligne
- ouvert
- open source
- Opportunités
- or
- organisation
- organisations
- ande
- plus de
- Surveillance
- PARAMOUNT
- particulier
- Photos
- Pivoter
- plateforme
- Platon
- Intelligence des données Platon
- PlatonDonnées
- l'éventualité
- Produits
- propriété
- mettre
- récemment
- reconnaître
- relativement
- éloigné
- dépôt
- chercheurs
- bon
- risques
- pour le running
- Rechercher
- Les moteurs de recherche
- sécurité
- sensible
- set
- coquillage
- devrait
- mettre en valeur
- Logiciels
- Développeurs de logiciels
- développement de logiciels
- Solutions
- Identifier
- groupe de neurones
- Étape
- arrêté
- storage
- Ces
- réussi
- tel
- surprenant
- combustion propre
- Système
- Prenez
- qui
- La
- Ces
- l'ont
- this
- menace
- acteurs de la menace
- à
- se tourne
- deux
- sous
- Mises à jour
- utilisé
- utilisateurs
- version
- via
- Vidéos
- vulnérabilités
- était
- Montres
- we
- ont été
- qui
- tout en
- Sauvage
- comprenant
- zéphyrnet