클라우드에 새로운 공격 벡터가 등장하여 사이버 범죄자가 원격으로 코드를 실행하고 MinIO라는 분산 객체 스토리지 시스템을 실행하는 시스템을 완전히 제어할 수 있게 되었습니다.
MinIO는 오픈 소스 제품입니다. 와 호환 Amazon S3 클라우드 스토리지 서비스를 통해 기업은 사진, 비디오, 로그 파일, 백업 및 컨테이너 이미지와 같은 구조화되지 않은 데이터를 처리할 수 있습니다. Security Joes의 연구원들은 최근 위협 행위자가 플랫폼의 일련의 심각한 취약점을 사용하는 것을 관찰했습니다(CVE-2023-28434 및 CVE-2023-28432) 회사 네트워크에 침투합니다.
Security Joes는 “우리가 우연히 발견한 특정 익스플로잇 체인은 이전에 실제로 관찰되지 않았거나 최소한 문서화되어 공격자가 이러한 비기본 솔루션을 채택하고 있음을 보여주는 첫 번째 증거가 되었습니다.”라고 말했습니다. "이러한 제품이 상대적으로 쉽게 새로운 치명적인 취약점 세트를 악용할 수 있다는 사실을 발견하고 놀랐습니다. 이를 통해 위협 행위자가 온라인 검색 엔진을 통해 찾을 수 있는 매력적인 공격 벡터가 되었습니다."
공격에서 사이버 범죄자는 DevOps 엔지니어를 속여 MinIO를 백도어로 효과적으로 작동하는 새 버전으로 업데이트했습니다. Security Joes 사고 대응자들은 이 업데이트가 "GetOutputDirectly()"라는 내장 명령 셸 기능과 XNUMX월에 공개된 두 가지 취약점에 대한 원격 코드 실행(RCE) 익스플로잇을 포함하는 MinIO의 무기화된 버전이라고 판단했습니다.
또한 이 부비 트랩 버전은 "Evil_MinIO"라는 이름으로 GitHub 저장소에서 사용할 수 있는 것으로 나타났습니다. Security Joes 연구원들은 이 특정 공격이 RCE 및 탈취 단계 이전에 중단되었지만 사악한 쌍둥이 소프트웨어의 존재로 인해 사용자에게 특히 소프트웨어 개발자를 대상으로 한 향후 공격을 감시하도록 주의를 기울여야 한다고 지적했습니다. 공격이 성공하면 민감한 기업 정보와 지적 재산이 노출되고 내부 애플리케이션에 대한 액세스가 허용되며 공격자가 조직의 인프라에 더 깊이 침투할 수 있습니다.
"소프트웨어 개발 수명주기 전반에 걸쳐 보안의 중요성을 명시적으로 인식하지 못하는 것은 중대한 실수입니다." Security Joes의 블로그 게시물 조사에. “이러한 과실은 잠재적으로 조직을 상당한 위험에 노출시킬 수 있습니다. 이러한 위험은 즉각적이지는 않지만 그림자 속에 숨어 올바른 활용 기회를 기다리고 있습니다.”
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 차트프라임. ChartPrime으로 트레이딩 게임을 향상시키십시오. 여기에서 액세스하십시오.
- BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/cloud/minio-attack-corporate-cloud-attack-vector
- :있다
- :이다
- :아니
- $UP
- 51
- 7
- a
- ACCESS
- 에 따르면
- 가로질러
- 배우
- 채택
- 반대
- 수
- 허용
- 수
- an
- 및
- 어플리케이션
- 있군요
- AS
- At
- 공격
- 공격
- 가능
- 대기
- 뒷문
- 백업
- BE
- 전에
- 존재
- 블로그
- 내장
- by
- 라는
- CAN
- 체인
- 클라우드
- 클라우드 스토리지
- 암호
- 기업
- 호환
- 컨테이너
- 제어
- Corporate
- 수
- 임계
- 사이버 공격
- 사이버 범죄자
- 데이터
- 깊이
- 결정된
- 개발자
- 개발
- 발견
- 분산
- 쉽게
- 효과적으로
- 등장
- 기사
- 엔진
- 유혹
- 전체
- 특히
- 증거
- 실행
- 실행
- 존재
- 공적
- 착취
- 공격
- 실패
- 파일
- 먼저,
- 럭셔리
- 발견
- 신선한
- 가득 찬
- 기능
- 미래
- GitHub의
- 핸들
- 있다
- HTTPS
- 형상
- 즉시
- 중요성
- in
- 사건
- 정보
- 인프라
- 예
- 지적인
- 지적 재산권
- 내부의
- 으로
- 조사
- IT
- JPG
- 가장 작은
- wifecycwe
- 처럼
- 기록
- 유튜브 영상을 만드는 것은
- Mar
- 수도
- 네트워크
- 신제품
- nist
- 비 원어민
- 유명한
- 알아채다..
- 대상
- of
- on
- 온라인
- 열 수
- 오픈 소스
- 기회
- or
- 조직
- 조직
- 아웃
- 위에
- 감시
- 최고의
- 특별한
- 사진
- 피벗
- 플랫폼
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 잠재적으로
- 제품
- 재산
- 놓다
- 최근에
- 인식
- 상대적으로
- 먼
- 저장소
- 연구원
- 연락해주세요
- 위험
- 달리는
- 검색
- 검색 엔진
- 보안
- 민감한
- 세트
- 껍질
- 영상을
- 선보이는
- 소프트웨어
- 소프트웨어 개발자
- 소프트웨어 개발
- 솔루션
- 출처
- 구체적인
- 단계
- 정지
- 저장
- 실질적인
- 성공한
- 이러한
- 놀라운
- 체계
- 시스템은
- 받아
- 그
- XNUMXD덴탈의
- Bowman의
- 그들
- 이
- 위협
- 위협 행위자
- 에
- 결국
- 두
- 아래에
- 업데이트
- 사용
- 사용자
- 버전
- 를 통해
- 동영상
- 취약점
- 였다
- 손목 시계
- we
- 했다
- 어느
- 동안
- 야생
- 과
- 제퍼 넷