Vektor serangan baru telah muncul di cloud, memungkinkan penjahat dunia maya mengeksekusi kode dari jarak jauh dan mengambil kendali penuh atas sistem yang menjalankan sistem penyimpanan objek terdistribusi yang disebut MinIO.
MinIO adalah penawaran sumber terbuka kompatibel dengan Layanan penyimpanan cloud Amazon S3, yang memungkinkan perusahaan menangani data tidak terstruktur seperti foto, video, file log, cadangan, dan gambar container. Para peneliti di Security Joes baru-baru ini mengamati pelaku ancaman memanfaatkan serangkaian kerentanan kritis dalam platform (CVE-2023-28434 dan CVE-2023-28432) untuk menyusup ke jaringan perusahaan.
โRantai eksploitasi spesifik yang kami temui belum pernah diamati sebelumnya, atau setidaknya didokumentasikan, menjadikan ini bukti pertama yang menunjukkan bahwa solusi non-pribumi diadopsi oleh penyerang,โ menurut Security Joes. โSangat mengejutkan saat mengetahui bahwa produk-produk ini memiliki kerentanan kritis baru yang relatif mudah untuk dieksploitasi, menjadikannya vektor serangan yang menarik yang dapat ditemukan oleh pelaku ancaman melalui mesin pencari online.โ
Dalam serangan tersebut, penjahat dunia maya menipu teknisi DevOps untuk memperbarui MinIO ke versi baru yang secara efektif berfungsi sebagai pintu belakang. Responden insiden Security Joes menetapkan bahwa pembaruan tersebut adalah versi MinIO yang dipersenjatai yang berisi fungsi shell perintah bawaan yang disebut โGetOutputDirectly(),โ dan eksploitasi eksekusi kode jarak jauh (RCE) untuk dua kerentanan, yang diungkapkan pada bulan Maret.
Lebih lanjut, ternyata versi jebakan ini tersedia di repositori GitHub dengan nama โEvil_MinIO.โ Peneliti Security Joes mencatat bahwa meskipun serangan khusus ini dihentikan sebelum tahap RCE dan pengambilalihan, keberadaan perangkat lunak kembaran jahat ini seharusnya membuat pengguna waspada terhadap serangan di masa depan, terutama terhadap pengembang perangkat lunak. Serangan yang berhasil dapat mengungkap informasi sensitif perusahaan dan kekayaan intelektual, memungkinkan akses ke aplikasi internal, dan mengatur penyerang untuk bergerak lebih jauh ke dalam infrastruktur organisasi.
โKegagalan untuk secara eksplisit menyadari pentingnya keamanan di seluruh siklus pengembangan perangkat lunak merupakan pengawasan yang sangat penting,โ menurut Entri blog Keamanan Joes pada penyelidikan. โKelalaian seperti itu berpotensi memaparkan suatu organisasi pada risiko besar. Meskipun risiko-risiko ini mungkin tidak terjadi secara langsung, namun risiko-risiko tersebut tersembunyi dalam bayang-bayang, menunggu peluang yang tepat untuk dieksploitasi.โ
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- ChartPrime. Tingkatkan Game Trading Anda dengan ChartPrime. Akses Di Sini.
- BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
- Sumber: https://www.darkreading.com/cloud/minio-attack-corporate-cloud-attack-vector
- :memiliki
- :adalah
- :bukan
- $NAIK
- 51
- 7
- a
- mengakses
- Menurut
- di seluruh
- aktor
- diadopsi
- terhadap
- mengizinkan
- Membiarkan
- memungkinkan
- an
- dan
- aplikasi
- ADALAH
- AS
- At
- menyerang
- Serangan
- tersedia
- menunggu
- pintu belakang
- backup
- BE
- sebelum
- makhluk
- Blog
- built-in
- by
- bernama
- CAN
- rantai
- awan
- Cloud Storage
- kode
- Perusahaan
- cocok
- Wadah
- kontrol
- Timeline
- bisa
- kritis
- Serangan cyber
- penjahat cyber
- data
- lebih dalam
- ditentukan
- pengembang
- Pengembangan
- menemukan
- didistribusikan
- Mudah
- efektif
- muncul
- insinyur
- Mesin
- menarik
- keseluruhan
- terutama
- bukti
- menjalankan
- eksekusi
- adanya
- Mengeksploitasi
- eksploitasi
- eksploitasi
- kegagalan
- File
- Pertama
- Untuk
- ditemukan
- segar
- penuh
- fungsi
- masa depan
- GitHub
- menangani
- Memiliki
- HTTPS
- gambar
- Segera
- pentingnya
- in
- insiden
- informasi
- Infrastruktur
- contoh
- cendekiawan
- kekayaan intelektual
- intern
- ke
- investigasi
- IT
- jpg
- paling sedikit
- siklus hidup
- 'like'
- mencatat
- Membuat
- March
- mungkin
- jaringan
- New
- nisan
- tidak asli
- terkenal
- Melihat..
- obyek
- of
- on
- secara online
- Buka
- open source
- Kesempatan
- or
- organisasi
- organisasi
- di luar
- lebih
- Kelalaian
- terpenting
- tertentu
- Foto
- Poros
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- berpotensi
- Produk
- milik
- menempatkan
- baru-baru ini
- mengenali
- relatif
- terpencil
- gudang
- peneliti
- benar
- risiko
- berjalan
- Pencarian
- Mesin pencari
- keamanan
- peka
- set
- Kulit
- harus
- menampilkan
- Perangkat lunak
- Pengembang Perangkat Lunak
- pengembangan perangkat lunak
- Solusi
- sumber
- tertentu
- Tahap
- terhenti
- penyimpanan
- besar
- sukses
- seperti itu
- mengherankan
- sistem
- sistem
- Mengambil
- bahwa
- Grafik
- Ini
- mereka
- ini
- ancaman
- aktor ancaman
- untuk
- ternyata
- dua
- bawah
- Memperbarui
- menggunakan
- Pengguna
- versi
- melalui
- Video
- Kerentanan
- adalah
- Menonton
- we
- adalah
- yang
- sementara
- Liar
- dengan
- zephyrnet.dll