क्लाउड में एक बिल्कुल नया अटैक वेक्टर उभरा है, जो साइबर अपराधियों को कोड को दूरस्थ रूप से निष्पादित करने और मिनिआईओ नामक वितरित ऑब्जेक्ट स्टोरेज सिस्टम चलाने वाले सिस्टम पर पूर्ण नियंत्रण लेने की अनुमति देता है।
मिनियो एक खुला स्रोत पेशकश है के साथ संगत अमेज़न S3 क्लाउड स्टोरेज सेवा, जो कंपनियों को फ़ोटो, वीडियो, लॉग फ़ाइलें, बैकअप और कंटेनर छवियों जैसे असंरचित डेटा को संभालने की अनुमति देता है। सिक्योरिटी जोस के शोधकर्ताओं ने हाल ही में खतरनाक अभिनेताओं को प्लेटफ़ॉर्म में महत्वपूर्ण कमजोरियों के एक सेट का उपयोग करते हुए देखा (CVE-2023-28434 और CVE-2023-28432) कॉर्पोरेट नेटवर्क में घुसपैठ करना।
सिक्योरिटी जोस के अनुसार, "जिस विशिष्ट शोषण श्रृंखला में हम आए, उसे पहले जंगल में नहीं देखा गया था, या कम से कम दस्तावेजित नहीं किया गया था, जिससे हमलावरों द्वारा ऐसे गैर-देशी समाधानों को अपनाए जाने के साक्ष्य का यह पहला उदाहरण बन गया।" "यह जानकर आश्चर्य हुआ कि इन उत्पादों में महत्वपूर्ण कमजोरियों के नए सेट का फायदा उठाना अपेक्षाकृत आसान हो सकता है, जिससे यह एक आकर्षक हमला वेक्टर बन सकता है जिसे ऑनलाइन खोज इंजन के माध्यम से खतरे वाले अभिनेताओं द्वारा पाया जा सकता है।"
हमले में, साइबर अपराधियों ने एक DevOps इंजीनियर को MinIO को एक नए संस्करण में अपडेट करने के लिए धोखा दिया जो प्रभावी रूप से पिछले दरवाजे के रूप में कार्य करता था। सुरक्षा जोस घटना के उत्तरदाताओं ने निर्धारित किया कि अद्यतन मिनिओ का एक हथियारयुक्त संस्करण था जिसमें "गेटआउटपुटडायरेक्टली ()" नामक एक अंतर्निहित कमांड शेल फ़ंक्शन और दो कमजोरियों के लिए रिमोट कोड निष्पादन (आरसीई) शोषण शामिल था, जिसका खुलासा मार्च में किया गया था।
इसके अलावा, यह पता चला है कि यह मूर्खतापूर्ण संस्करण GitHub रिपॉजिटरी में "Evil_MinIO" उपनाम के तहत उपलब्ध है। सिक्योरिटी जोस के शोधकर्ताओं ने नोट किया कि हालांकि इस विशेष हमले को आरसीई-एंड-टेकओवर चरण से पहले रोक दिया गया था, लेकिन ईविल-ट्विन सॉफ़्टवेयर के अस्तित्व से उपयोगकर्ताओं को भविष्य के हमलों, विशेष रूप से सॉफ़्टवेयर डेवलपर्स के खिलाफ, सतर्क रहना चाहिए। एक सफल हमला संवेदनशील कॉर्पोरेट जानकारी और बौद्धिक संपदा को उजागर कर सकता है, आंतरिक अनुप्रयोगों तक पहुंच की अनुमति दे सकता है, और हमलावरों को संगठनों के बुनियादी ढांचे में गहराई से प्रवेश करने के लिए तैयार कर सकता है।
"सॉफ़्टवेयर विकास जीवनचक्र की संपूर्णता में सुरक्षा के सर्वोपरि महत्व को स्पष्ट रूप से पहचानने में विफल होना एक महत्वपूर्ण निरीक्षण है," के अनुसार सिक्योरिटी जोस का ब्लॉग पोस्ट जांच पर. “इस तरह की लापरवाही संभावित रूप से किसी संगठन को बड़े जोखिम में डाल सकती है। हालाँकि ये जोखिम तत्काल नहीं हो सकते हैं, वे शोषण के लिए सही अवसर की प्रतीक्षा में छाया में दुबके रहते हैं।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. ऑटोमोटिव/ईवीएस, कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- चार्टप्राइम. चार्टप्राइम के साथ अपने ट्रेडिंग गेम को उन्नत करें। यहां पहुंचें।
- BlockOffsets. पर्यावरणीय ऑफसेट स्वामित्व का आधुनिकीकरण। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cloud/minio-attack-corporate-cloud-attack-vector
- :हैस
- :है
- :नहीं
- $यूपी
- 51
- 7
- a
- पहुँच
- अनुसार
- के पार
- अभिनेताओं
- दत्तक
- के खिलाफ
- अनुमति देना
- की अनुमति दे
- की अनुमति देता है
- an
- और
- अनुप्रयोगों
- हैं
- AS
- At
- आक्रमण
- आक्रमण
- उपलब्ध
- का इंतजार
- पिछले दरवाजे
- बैकअप
- BE
- से पहले
- जा रहा है
- ब्लॉग
- में निर्मित
- by
- बुलाया
- कर सकते हैं
- श्रृंखला
- बादल
- बादल का भंडारण
- कोड
- कंपनियों
- संगत
- कंटेनर
- नियंत्रण
- कॉर्पोरेट
- सका
- महत्वपूर्ण
- साइबर हमला
- साइबर अपराधी
- तिथि
- और गहरा
- निर्धारित
- डेवलपर्स
- विकास
- अन्य वायरल पोस्ट से
- वितरित
- आसान
- प्रभावी रूप से
- उभरा
- इंजीनियर
- इंजन
- मोहक
- संपूर्णता
- विशेष रूप से
- सबूत
- निष्पादित
- निष्पादन
- अस्तित्व
- शोषण करना
- शोषण
- कारनामे
- में नाकाम रहने
- फ़ाइलें
- प्रथम
- के लिए
- पाया
- ताजा
- पूर्ण
- समारोह
- भविष्य
- GitHub
- संभालना
- है
- HTTPS
- छवियों
- तत्काल
- महत्व
- in
- घटना
- करें-
- इंफ्रास्ट्रक्चर
- उदाहरण
- बौद्धिक
- बौद्धिक संपदा
- आंतरिक
- में
- जांच
- IT
- जेपीजी
- कम से कम
- जीवन चक्र
- पसंद
- लॉग इन
- निर्माण
- मार्च
- हो सकता है
- नेटवर्क
- नया
- NIST
- गैर देशी
- विख्यात
- सूचना..
- वस्तु
- of
- on
- ऑनलाइन
- खुला
- खुला स्रोत
- अवसर
- or
- संगठन
- संगठनों
- आउट
- के ऊपर
- निगरानी
- आला दर्जे का
- विशेष
- तस्वीरें
- प्रधान आधार
- मंच
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- संभावित
- उत्पाद
- संपत्ति
- रखना
- हाल ही में
- पहचान
- अपेक्षाकृत
- दूरस्थ
- कोष
- शोधकर्ताओं
- सही
- जोखिम
- दौड़ना
- Search
- खोज इंजन
- सुरक्षा
- संवेदनशील
- सेट
- खोल
- चाहिए
- को दिखाने
- सॉफ्टवेयर
- सॉफ्टवेयर डेवलपर्स
- सॉफ्टवेयर विकास
- समाधान ढूंढे
- स्रोत
- विशिष्ट
- ट्रेनिंग
- रोक
- भंडारण
- पर्याप्त
- सफल
- ऐसा
- आश्चर्य की बात
- प्रणाली
- सिस्टम
- लेना
- कि
- RSI
- इन
- वे
- इसका
- धमकी
- खतरों के खिलाड़ी
- सेवा मेरे
- बदल जाता है
- दो
- के अंतर्गत
- अपडेट
- उपयोग
- उपयोगकर्ताओं
- संस्करण
- के माध्यम से
- वीडियो
- कमजोरियों
- था
- घड़ी
- we
- थे
- कौन कौन से
- जब
- जंगली
- साथ में
- जेफिरनेट