Um novo vetor de ataque surgiu na nuvem, permitindo que os cibercriminosos executem códigos remotamente e assumam controle total sobre os sistemas que executam o sistema de armazenamento de objetos distribuídos chamado MinIO.
MinIO é uma oferta de código aberto compatível com o Serviço de armazenamento em nuvem Amazon S3, que permite às empresas lidar com dados não estruturados, como fotos, vídeos, arquivos de log, backups e imagens de contêineres. Pesquisadores da Security Joes observaram recentemente agentes de ameaças fazendo uso de um conjunto de vulnerabilidades críticas na plataforma (CVE-2023-28434 e CVE-2023-28432) para se infiltrar em uma rede corporativa.
“A cadeia de exploração específica que encontramos não foi observada antes, ou pelo menos documentada, tornando este o primeiro exemplo de evidência mostrando que tais soluções não nativas estão sendo adotadas por invasores”, de acordo com Security Joes. “Foi surpreendente descobrir que esses produtos poderiam ter um novo conjunto de vulnerabilidades críticas relativamente fácil de explorar, tornando-os um vetor de ataque atraente que pode ser encontrado por agentes de ameaças por meio de mecanismos de pesquisa on-line.”
No ataque, os cibercriminosos enganaram um engenheiro de DevOps para atualizar o MinIO para uma nova versão que funcionasse efetivamente como um backdoor. Os respondentes de incidentes do Security Joes determinaram que a atualização era uma versão armada do MinIO contendo uma função de shell de comando integrada chamada “GetOutputDirectly ()” e explorações de execução remota de código (RCE) para as duas vulnerabilidades, que foram divulgadas em março.
Além disso, descobriu-se que esta versão com armadilha está disponível em um repositório GitHub sob o apelido de “Evil_MinIO”. Os pesquisadores do Security Joes observaram que, embora esse ataque específico tenha sido interrompido antes do estágio de RCE e aquisição, a existência do software gêmeo do mal deve alertar os usuários para ficarem atentos a ataques futuros, especialmente contra desenvolvedores de software. Um ataque bem-sucedido poderia expor informações corporativas confidenciais e propriedade intelectual, permitir o acesso a aplicativos internos e preparar os invasores para se aprofundarem na infraestrutura das organizações.
“Não reconhecer explicitamente a importância primordial da segurança em todo o ciclo de vida de desenvolvimento de software constitui um descuido crítico”, de acordo com Postagem do blog do Security Joes na investigação. “Tal negligência pode potencialmente expor uma organização a riscos substanciais. Embora estes riscos possam não ser imediatos, eles espreitam nas sombras, aguardando a oportunidade certa para serem explorados.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- ChartPrime. Eleve seu jogo de negociação com ChartPrime. Acesse aqui.
- BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
- Fonte: https://www.darkreading.com/cloud/minio-attack-corporate-cloud-attack-vector
- :tem
- :é
- :não
- $UP
- 51
- 7
- a
- Acesso
- Segundo
- em
- atores
- adotado
- contra
- permitir
- Permitindo
- permite
- an
- e
- aplicações
- SOMOS
- AS
- At
- ataque
- Ataques
- disponível
- aguardando
- Porta dos fundos
- backups
- BE
- antes
- ser
- Blog
- construídas em
- by
- chamado
- CAN
- cadeia
- Na nuvem
- armazenamento em nuvem
- código
- Empresas
- compatível
- Recipiente
- ao controle
- Responsabilidade
- poderia
- crítico
- Ataque cibernético
- cibercriminosos
- dados,
- mais profunda
- determinado
- desenvolvedores
- Desenvolvimento
- descobrir
- distribuído
- fácil
- efetivamente
- emergiu
- engenheiro
- Motores
- sedutor
- totalidade
- especialmente
- evidência
- executar
- execução
- existência
- Explorar
- exploração
- façanhas
- falta
- Arquivos
- Primeiro nome
- Escolha
- encontrado
- recentes
- cheio
- função
- futuro
- GitHub
- manipular
- Ter
- HTTPS
- imagens
- Imediato
- importância
- in
- incidente
- INFORMAÇÕES
- Infraestrutura
- instância
- intelectual
- propriedade intelectual
- interno
- para dentro
- investigação
- IT
- jpg
- mínimo
- wifecycwe
- como
- log
- Fazendo
- Março
- poder
- rede
- Novo
- nist
- não nativo
- notado
- Perceber..
- objeto
- of
- on
- online
- aberto
- open source
- Oportunidade
- or
- organização
- organizações
- Fora
- Acima de
- Supervisão
- Supremo
- particular
- Fotos
- articulação
- plataforma
- platão
- Inteligência de Dados Platão
- PlatãoData
- potencialmente
- Produtos
- propriedade
- colocar
- recentemente
- reconhecer
- relativamente
- remoto
- repositório
- pesquisadores
- certo
- riscos
- corrida
- Pesquisar
- Mecanismos de busca
- segurança
- sensível
- conjunto
- concha
- rede de apoio social
- apresentando
- Software
- Desenvolvedores de software
- desenvolvimento de software
- Soluções
- fonte
- específico
- Etapa
- parou
- armazenamento
- substancial
- bem sucedido
- tal
- surpreendente
- .
- sistemas
- Tire
- que
- A
- Este
- deles
- isto
- ameaça
- atores de ameaças
- para
- voltas
- dois
- para
- Atualizar
- usar
- usuários
- versão
- via
- VÍDEOS
- vulnerabilidades
- foi
- Assistir
- we
- foram
- qual
- enquanto
- Selvagem
- de
- zefirnet
