W chmurze pojawił się zupełnie nowy wektor ataku, umożliwiający cyberprzestępcom zdalne wykonanie kodu i przejęcie pełnej kontroli nad systemami, na których działa rozproszony system przechowywania obiektów o nazwie MinIO.
MinIO to oferta typu open source kompatybilny z Usługa przechowywania w chmurze Amazon S3, która umożliwia firmom obsługę nieustrukturyzowanych danych, takich jak zdjęcia, filmy, pliki dziennika, kopie zapasowe i obrazy kontenerów. Badacze z Security Joes zaobserwowali ostatnio, że ugrupowania zagrażające wykorzystują zestaw krytycznych luk w zabezpieczeniach platformy (CVE-2023-28434 i CVE-2023-28432) w celu infiltracji sieci firmowej.
„Konkretny łańcuch exploitów, na który natknęliśmy się, nie był wcześniej obserwowany na wolności ani przynajmniej udokumentowany, co czyni ten pierwszy przypadek dowodem na to, że osoby atakujące przyjmują takie nienatywne rozwiązania” – twierdzi Security Joes. „Zaskakujące było odkrycie, że produkty te mogą mieć tak stosunkowo łatwy do wykorzystania nowy zestaw krytycznych luk w zabezpieczeniach, co czyni je kuszącym wektorem ataku, który mogą zostać znalezione przez cyberprzestępców za pośrednictwem wyszukiwarek internetowych”.
Podczas ataku cyberprzestępcy oszukali inżyniera DevOps, aby zaktualizował MinIO do nowej wersji, która skutecznie działała jako backdoor. Osoby reagujące na incydenty w firmie Security Joes ustaliły, że aktualizacja była uzbrojoną wersją MinIO zawierającą wbudowaną funkcję powłoki poleceń o nazwie „GetOutputDirectly()” oraz exploity na zdalne wykonanie kodu (RCE) w przypadku dwóch luk, które ujawniono w marcu.
Co więcej, okazuje się, że ta wersja zawierająca miny-pułapki jest dostępna w repozytorium GitHub pod pseudonimem „Evil_MinIO”. Badacze z Security Joes zauważyli, że chociaż ten konkretny atak został zatrzymany przed etapem RCE i przejęcia, istnienie oprogramowania złego bliźniaka powinno zwrócić uwagę użytkowników, aby wypatrywali przyszłych ataków, szczególnie przeciwko twórcom oprogramowania. Udany atak może ujawnić wrażliwe informacje korporacyjne i własność intelektualną, umożliwić dostęp do aplikacji wewnętrznych i skłonić atakujących do głębszego wniknięcia w infrastrukturę organizacji.
„Brak wyraźnego uznania ogromnego znaczenia bezpieczeństwa w całym cyklu życia oprogramowania stanowi krytyczne przeoczenie” – twierdzi. Wpis na blogu Security Joes na śledztwie. „Takie zaniedbanie może potencjalnie narazić organizację na znaczne ryzyko. Choć zagrożenia te mogą nie być natychmiastowe, czają się w cieniu i czekają na odpowiednią okazję do wykorzystania.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- ChartPrime. Podnieś poziom swojej gry handlowej dzięki ChartPrime. Dostęp tutaj.
- Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
- Źródło: https://www.darkreading.com/cloud/minio-attack-corporate-cloud-attack-vector
- :ma
- :Jest
- :nie
- $W GÓRĘ
- 51
- 7
- a
- dostęp
- Stosownie
- w poprzek
- aktorzy
- przyjęty
- przed
- dopuszczać
- Pozwalać
- pozwala
- an
- i
- aplikacje
- SĄ
- AS
- At
- atakować
- Ataki
- dostępny
- w oczekiwaniu
- tylne drzwi
- Kopie zapasowe
- BE
- zanim
- jest
- Blog
- wbudowany
- by
- nazywa
- CAN
- łańcuch
- Chmura
- przechowywanie w chmurze
- kod
- Firmy
- zgodny
- Pojemnik
- kontrola
- Korporacyjny
- mógłby
- krytyczny
- Cyber atak
- cyberprzestępcy
- dane
- głębiej
- ustalona
- deweloperzy
- oprogramowania
- odkryj
- dystrybuowane
- łatwo
- faktycznie
- wyłonił
- inżynier
- silniki
- nęcący
- całość
- szczególnie
- dowód
- wykonać
- egzekucja
- istnienie
- Wykorzystać
- eksploatacja
- exploity
- nie
- Akta
- i terminów, a
- W razie zamówieenia projektu
- znaleziono
- świeży
- pełny
- funkcjonować
- przyszłość
- GitHub
- uchwyt
- Have
- HTTPS
- zdjęcia
- Natychmiastowy
- znaczenie
- in
- incydent
- Informacja
- Infrastruktura
- przykład
- intelektualny
- własność intelektualna
- wewnętrzny
- najnowszych
- śledztwo
- IT
- jpg
- najmniej
- wifecycwe
- lubić
- log
- Dokonywanie
- March
- może
- sieć
- Nowości
- nist
- obcy
- zauważyć
- Zauważyć..
- przedmiot
- of
- on
- Online
- koncepcja
- open source
- Okazja
- or
- organizacja
- organizacji
- na zewnątrz
- koniec
- Przeoczenie
- najważniejszy
- szczególny
- ZDJĘCIA
- Pivot
- Platforma
- plato
- Analiza danych Platona
- PlatoDane
- potencjalnie
- Produkty
- własność
- położyć
- niedawno
- rozpoznać
- stosunkowo
- zdalny
- składnica
- Badacze
- prawo
- ryzyko
- bieganie
- Szukaj
- Wyszukiwarki
- bezpieczeństwo
- wrażliwy
- zestaw
- Powłoka
- powinien
- ściąganie
- Tworzenie
- Software Developers
- rozwoju oprogramowania
- Rozwiązania
- Źródło
- specyficzny
- STAGE
- zatrzymany
- przechowywanie
- znaczny
- udany
- taki
- zaskakujący
- system
- systemy
- Brać
- że
- Połączenia
- Te
- one
- to
- groźba
- podmioty grożące
- do
- włącza
- drugiej
- dla
- Aktualizacja
- posługiwać się
- Użytkownicy
- wersja
- przez
- Filmy
- Luki w zabezpieczeniach
- była
- Oglądaj
- we
- były
- który
- Podczas
- Dziki
- w
- zefirnet