まったく新しい攻撃ベクトルがクラウドに出現し、サイバー犯罪者がリモートでコードを実行し、MinIO と呼ばれる分散オブジェクト ストレージ システムを実行しているシステムを完全に制御できるようになります。
MinIO はオープンソース製品です と互換性があります Amazon S3 クラウド ストレージ サービスこれにより、企業は写真、ビデオ、ログ ファイル、バックアップ、コンテナ イメージなどの非構造化データを処理できるようになります。 Security Joes の研究者は最近、プラットフォーム内の一連の重大な脆弱性を攻撃者が利用していることを観察しました (CVE-2023-28434 および CVE-2023-28432) 企業ネットワークに侵入します。
「私たちが偶然遭遇した特定のエクスプロイト チェーンは、これまで実際に観察されたことはなく、少なくとも文書化されていません。これは、そのような非ネイティブ ソリューションが攻撃者によって採用されていることを示す最初の証拠になります」とセキュリティ ジョーズ氏は述べています。 「これらの製品には、比較的簡単に新たな重大な脆弱性を悪用できる可能性があり、オンライン検索エンジンを通じて脅威アクターが発見できる魅力的な攻撃ベクトルとなっている可能性があることを発見したのは驚きでした。」
この攻撃では、サイバー犯罪者は DevOps エンジニアをだまして、事実上バックドアとして機能する新しいバージョンに MinIO を更新させました。 Security Joes のインシデント対応担当者は、このアップデートは「GetOutputDirectly()」と呼ばれる組み込みコマンド シェル関数と、XNUMX 月に公開された XNUMX つの脆弱性に対するリモート コード実行 (RCE) エクスプロイトを含む、兵器化されたバージョンの MinIO であると判断しました。
さらに、このブービートラップされたバージョンは、「Evil_MinIO」という名前で GitHub リポジトリで入手できることが判明しました。 Security Joes の研究者らは、この特定の攻撃は RCE と乗っ取り段階の前に阻止されたものの、悪の双子ソフトウェアの存在により、ユーザーは将来の攻撃、特にソフトウェア開発者に対する攻撃に注意を払う必要があると指摘しました。 攻撃が成功すると、企業の機密情報や知的財産が暴露され、内部アプリケーションへのアクセスが許可され、攻撃者が組織のインフラストラクチャに深く侵入するよう仕向けられる可能性があります。
「ソフトウェア開発ライフサイクル全体にわたってセキュリティの最重要性を明確に認識していないことは、重大な見落としとなります。」 Security Joes のブログ投稿 捜査中。 「このような過失は、組織を重大なリスクにさらす可能性があります。 これらのリスクはすぐには現れないかもしれませんが、影に潜んで悪用される適切な機会を待っています。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 自動車/EV、 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- チャートプライム。 ChartPrime でトレーディング ゲームをレベルアップしましょう。 こちらからアクセスしてください。
- ブロックオフセット。 環境オフセット所有権の近代化。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cloud/minio-attack-corporate-cloud-attack-vector
- :持っている
- :は
- :not
- $UP
- 51
- 7
- a
- アクセス
- 従った
- 越えて
- 俳優
- 採択
- に対して
- 許す
- 許可
- ことができます
- an
- および
- です
- AS
- At
- 攻撃
- 攻撃
- 利用できます
- 待っています
- 裏口
- バックアップ
- BE
- さ
- ブログ
- 内蔵
- by
- 呼ばれます
- 缶
- チェーン
- クラウド
- コード
- 企業
- 互換性のあります
- コンテナ
- コントロール
- 企業
- 可能性
- 重大な
- サイバー攻撃
- サイバー犯罪者
- データ
- より深い
- 決定
- 開発者
- 開発
- 発見する
- 配布
- 簡単に
- 効果的に
- 登場
- エンジニア
- エンジン
- 魅力的
- 全体
- 特に
- 証拠
- 実行します
- 実行
- 存在
- 悪用する
- 搾取
- エクスプロイト
- 失敗
- 名
- 発見
- 新鮮な
- フル
- function
- 未来
- GitHubの
- ハンドル
- 持ってる
- HTTPS
- 画像
- 即時の
- 重要性
- in
- 事件
- 情報
- インフラ
- 知的
- 知的財産
- 内部
- に
- 調査
- IT
- JPG
- 最低
- wifecycwe
- ような
- ログ
- 作成
- 3月
- かもしれない
- ネットワーク
- 新作
- ニスト
- 非ネイティブ
- 注意
- 知らせ..
- オブジェクト
- of
- on
- オンライン
- 開いた
- オープンソース
- 機会
- or
- 組織
- 組織
- でる
- が
- 見落とし
- 最高の
- 特定の
- 写真
- 枢軸
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- :
- 製品
- 財産
- 置きます
- 最近
- 認識する
- 相対的に
- リモート
- 倉庫
- 研究者
- 右
- リスク
- ランニング
- を検索
- 検索エンジン
- セキュリティ
- 敏感な
- セッションに
- シェル(Shell)
- すべき
- 展示の
- ソフトウェア
- ソフトウェア開発者
- ソフトウェア開発
- ソリューション
- ソース
- 特定の
- ステージ
- 停止
- ストレージ利用料
- かなりの
- 成功した
- そのような
- 驚くべき
- システム
- 取る
- それ
- ボーマン
- 彼ら
- この
- 脅威
- 脅威アクター
- 〜へ
- ターン
- 2
- 下
- アップデイト
- つかいます
- users
- バージョン
- 、
- 動画
- 脆弱性
- ました
- よく見る
- we
- した
- which
- while
- ワイルド
- ゼファーネット