Một phương thức tấn công hoàn toàn mới đã xuất hiện trên đám mây, cho phép tội phạm mạng thực thi mã từ xa và giành toàn quyền kiểm soát các hệ thống chạy hệ thống lưu trữ đối tượng phân tán có tên MinIO.
MinIO là một sản phẩm mã nguồn mở tương thích với Dịch vụ lưu trữ đám mây Amazon S3, cho phép các công ty xử lý dữ liệu phi cấu trúc như ảnh, video, tệp nhật ký, bản sao lưu và hình ảnh vùng chứa. Các nhà nghiên cứu tại Security Joes gần đây đã quan sát thấy các tác nhân đe dọa sử dụng một tập hợp các lỗ hổng nghiêm trọng trong nền tảng (CVE-2023-28434 và CVE-2023-28432) để xâm nhập vào mạng công ty.
Theo Security Joes, “Chuỗi khai thác cụ thể mà chúng tôi gặp phải chưa từng được quan sát thấy trong tự nhiên trước đây hoặc ít nhất là được ghi lại, khiến đây là trường hợp đầu tiên về bằng chứng cho thấy các giải pháp không có nguồn gốc như vậy đang được những kẻ tấn công áp dụng”. “Thật ngạc nhiên khi phát hiện ra rằng những sản phẩm này có thể khai thác một loạt lỗ hổng nghiêm trọng mới tương đối dễ dàng đến vậy, khiến nó trở thành một vectơ tấn công hấp dẫn mà các tác nhân đe dọa có thể tìm thấy thông qua các công cụ tìm kiếm trực tuyến.”
Trong cuộc tấn công, tội phạm mạng đã lừa một kỹ sư DevOps để cập nhật MinIO lên phiên bản mới có chức năng hoạt động hiệu quả như một cửa hậu. Những người ứng phó sự cố của Security Joes xác định rằng bản cập nhật là phiên bản vũ khí hóa của MinIO chứa hàm shell lệnh tích hợp có tên là “GetOutputDirectly()” và các hoạt động khai thác thực thi mã từ xa (RCE) đối với hai lỗ hổng đã được tiết lộ vào tháng 3.
Hơn nữa, hóa ra phiên bản bị mắc kẹt này có sẵn trong kho lưu trữ GitHub với biệt danh “Evil_MinIO”. Các nhà nghiên cứu của Security Joes lưu ý rằng mặc dù cuộc tấn công cụ thể này đã bị dừng trước giai đoạn RCE và tiếp quản, nhưng sự tồn tại của phần mềm song sinh độc ác sẽ khiến người dùng phải chú ý theo dõi các cuộc tấn công trong tương lai, đặc biệt là nhằm vào các nhà phát triển phần mềm. Một cuộc tấn công thành công có thể làm lộ thông tin nhạy cảm và tài sản trí tuệ của công ty, cho phép truy cập vào các ứng dụng nội bộ và khiến kẻ tấn công tiến sâu hơn vào cơ sở hạ tầng của tổ chức.
“Việc không nhận thức rõ ràng tầm quan trọng tối thượng của bảo mật trong toàn bộ vòng đời phát triển phần mềm sẽ tạo thành một sự giám sát nghiêm trọng,” theo Bài đăng trên blog của Security Joes về cuộc điều tra. “Sự sơ suất như vậy có thể khiến tổ chức gặp rủi ro đáng kể. Mặc dù những rủi ro này có thể không xảy ra ngay lập tức nhưng chúng ẩn nấp trong bóng tối, chờ đợi cơ hội thích hợp để khai thác.”
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- ChartPrime. Nâng cao trò chơi giao dịch của bạn với ChartPrime. Truy cập Tại đây.
- BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cloud/minio-attack-corporate-cloud-attack-vector
- : có
- :là
- :không phải
- $ LÊN
- 51
- 7
- a
- truy cập
- Theo
- ngang qua
- diễn viên
- con nuôi
- chống lại
- cho phép
- Cho phép
- cho phép
- an
- và
- các ứng dụng
- LÀ
- AS
- At
- tấn công
- Các cuộc tấn công
- có sẵn
- chờ
- cửa sau
- sao lưu
- BE
- trước
- được
- Blog
- được xây dựng trong
- by
- gọi là
- CAN
- chuỗi
- đám mây
- Đám mây lưu trữ
- mã
- Các công ty
- tương thích
- Container
- điều khiển
- Doanh nghiệp
- có thể
- quan trọng
- Tấn công mạng
- tội phạm mạng
- dữ liệu
- sâu sắc hơn
- xác định
- phát triển
- Phát triển
- khám phá
- phân phối
- dễ dàng
- hiệu quả
- xuất hiện
- ky sư
- Động cơ
- lôi cuốn
- toàn bộ
- đặc biệt
- bằng chứng
- thi hành
- thực hiện
- sự tồn tại
- Khai thác
- khai thác
- khai thác
- không
- Các tập tin
- Tên
- Trong
- tìm thấy
- tươi
- Full
- chức năng
- tương lai
- GitHub
- xử lý
- Có
- HTTPS
- hình ảnh
- lập tức
- tầm quan trọng
- in
- sự cố
- thông tin
- Cơ sở hạ tầng
- ví dụ
- trí tuệ
- sở hữu trí tuệ
- nội bộ
- trong
- điều tra
- IT
- jpg
- ít nhất
- vòng đời
- Lượt thích
- đăng nhập
- Làm
- Tháng Ba
- Might
- mạng
- Mới
- nắm tay
- không tự nhiên
- lưu ý
- Để ý..
- vật
- of
- on
- Trực tuyến
- mở
- mã nguồn mở
- Cơ hội
- or
- cơ quan
- tổ chức
- ra
- kết thúc
- Giám sát
- Paramount
- riêng
- Hình ảnh
- Trục
- nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- có khả năng
- Sản phẩm
- tài sản
- đặt
- gần đây
- công nhận
- tương đối
- xa
- kho
- nhà nghiên cứu
- ngay
- rủi ro
- chạy
- Tìm kiếm
- Công cụ tìm kiếm
- an ninh
- nhạy cảm
- định
- Shell
- nên
- giới th
- Phần mềm
- Nhà phát triển phần mềm
- phát triển phần mềm
- Giải pháp
- nguồn
- riêng
- Traineeship
- dừng lại
- là gắn
- đáng kể
- thành công
- như vậy
- thật ngạc nhiên
- hệ thống
- hệ thống
- Hãy
- việc này
- Sản phẩm
- Kia là
- họ
- điều này
- mối đe dọa
- diễn viên đe dọa
- đến
- biến
- hai
- Dưới
- Cập nhật
- sử dụng
- Người sử dụng
- phiên bản
- thông qua
- Video
- Lỗ hổng
- là
- Đồng hồ đeo tay
- we
- là
- cái nào
- trong khi
- Hoang dã
- với
- zephyrnet