मिनियो साइबर अटैक ताजा कॉर्पोरेट क्लाउड वेक्टर प्रदर्शित करता है

क्लाउड में एक बिल्कुल नया अटैक वेक्टर उभरा है, जो साइबर अपराधियों को कोड को दूरस्थ रूप से निष्पादित करने और मिनिआईओ नामक वितरित ऑब्जेक्ट स्टोरेज सिस्टम चलाने वाले सिस्टम पर पूर्ण नियंत्रण लेने की अनुमति देता है।

मिनियो एक खुला स्रोत पेशकश है के साथ संगत अमेज़न S3 क्लाउड स्टोरेज सेवा, जो कंपनियों को फ़ोटो, वीडियो, लॉग फ़ाइलें, बैकअप और कंटेनर छवियों जैसे असंरचित डेटा को संभालने की अनुमति देता है। सिक्योरिटी जोस के शोधकर्ताओं ने हाल ही में खतरनाक अभिनेताओं को प्लेटफ़ॉर्म में महत्वपूर्ण कमजोरियों के एक सेट का उपयोग करते हुए देखा (CVE-2023-28434 और CVE-2023-28432) कॉर्पोरेट नेटवर्क में घुसपैठ करना।

सिक्योरिटी जोस के अनुसार, "जिस विशिष्ट शोषण श्रृंखला में हम आए, उसे पहले जंगल में नहीं देखा गया था, या कम से कम दस्तावेजित नहीं किया गया था, जिससे हमलावरों द्वारा ऐसे गैर-देशी समाधानों को अपनाए जाने के साक्ष्य का यह पहला उदाहरण बन गया।" "यह जानकर आश्चर्य हुआ कि इन उत्पादों में महत्वपूर्ण कमजोरियों के नए सेट का फायदा उठाना अपेक्षाकृत आसान हो सकता है, जिससे यह एक आकर्षक हमला वेक्टर बन सकता है जिसे ऑनलाइन खोज इंजन के माध्यम से खतरे वाले अभिनेताओं द्वारा पाया जा सकता है।"

हमले में, साइबर अपराधियों ने एक DevOps इंजीनियर को MinIO को एक नए संस्करण में अपडेट करने के लिए धोखा दिया जो प्रभावी रूप से पिछले दरवाजे के रूप में कार्य करता था। सुरक्षा जोस घटना के उत्तरदाताओं ने निर्धारित किया कि अद्यतन मिनिओ का एक हथियारयुक्त संस्करण था जिसमें "गेटआउटपुटडायरेक्टली ()" नामक एक अंतर्निहित कमांड शेल फ़ंक्शन और दो कमजोरियों के लिए रिमोट कोड निष्पादन (आरसीई) शोषण शामिल था, जिसका खुलासा मार्च में किया गया था।

इसके अलावा, यह पता चला है कि यह मूर्खतापूर्ण संस्करण GitHub रिपॉजिटरी में "Evil_MinIO" उपनाम के तहत उपलब्ध है। सिक्योरिटी जोस के शोधकर्ताओं ने नोट किया कि हालांकि इस विशेष हमले को आरसीई-एंड-टेकओवर चरण से पहले रोक दिया गया था, लेकिन ईविल-ट्विन सॉफ़्टवेयर के अस्तित्व से उपयोगकर्ताओं को भविष्य के हमलों, विशेष रूप से सॉफ़्टवेयर डेवलपर्स के खिलाफ, सतर्क रहना चाहिए। एक सफल हमला संवेदनशील कॉर्पोरेट जानकारी और बौद्धिक संपदा को उजागर कर सकता है, आंतरिक अनुप्रयोगों तक पहुंच की अनुमति दे सकता है, और हमलावरों को संगठनों के बुनियादी ढांचे में गहराई से प्रवेश करने के लिए तैयार कर सकता है।

"सॉफ़्टवेयर विकास जीवनचक्र की संपूर्णता में सुरक्षा के सर्वोपरि महत्व को स्पष्ट रूप से पहचानने में विफल होना एक महत्वपूर्ण निरीक्षण है," के अनुसार सिक्योरिटी जोस का ब्लॉग पोस्ट जांच पर. “इस तरह की लापरवाही संभावित रूप से किसी संगठन को बड़े जोखिम में डाल सकती है। हालाँकि ये जोखिम तत्काल नहीं हो सकते हैं, वे शोषण के लिए सही अवसर की प्रतीक्षा में छाया में दुबके रहते हैं।