Пробив в облака на Oracle дава достъп до виртуални дискове на потребители

Wikimedia Commons
Peter Kaminski

Пробив в облака на Oracle дава достъп до виртуални дискове на потребители

Александър Главчев
520 прочитания

Wikimedia Commons

© Peter Kaminski


Критична уязвимост в облачната инфраструктура на Oracle (Oracle Cloud Infrastructure, OCI), идентифицирана в началото на лятото на 2022 г., може да се използва за получаване на достъп до виртуални дискове на други хора, съобщава Security Affairs. Допълва се, че уязвимостта вече е коригирана.

Тя е била открита през юни от експерти на компанията за сигурност Wiz, докато са работели по интегриране на техните системи с OCI. "Когато се опитахме да се свържем с виртуалния диск на друг OCI потребител, бяхме изненадани да установим, че операцията е успешна! Получихме достъп както за четене, така и за запис до друг акаунт, който не ни принадлежи", обяснява Шир Тамари, ръководител изследвания в Wiz. - Всеки виртуален диск в облака на Oracle има уникален идентификатор, наречен OCID. Той не се счита за секретен."

Оказало се е обаче, че след получаване на OCID на виртуален диск, който не е свързан към активен сървър или не е конфигуриран за общ достъп, нападател може да се свърже с диска и да получи всички права за достъп - нещо, което по принцип не трябва да се случва. Както отбелязват от Wiz, ключът към безопасността на данните във виртуални хранилища трябва да е тяхната изолация от ресурсите на други потребители.

Използването на фиксираната уязвимост беше възможно само ако атакуващият клиент и жертвата се намираха в един и същ домейн на достъпност (Availability Domain). Това ограничение обаче не играе голяма роля, тъй като броят на зоните за достъпност за всеки регион е малък и техните идентификатори могат да бъдат изчислявани.

Изследователите отбелязват, че недостатъчното валидиране на потребителските разрешения е често срещано явление сред доставчиците на облачни услуги и че най-добрият начин за откриване на такива проблеми е чрез редовни одити на кода, както и сравнителен анализ при разработването на ключови API.

Oracle е била уведомена за проблема на 9 юни 2022 г. и го коригирала в рамките на 24 часа.

Критична уязвимост в облачната инфраструктура на Oracle (Oracle Cloud Infrastructure, OCI), идентифицирана в началото на лятото на 2022 г., може да се използва за получаване на достъп до виртуални дискове на други хора, съобщава Security Affairs. Допълва се, че уязвимостта вече е коригирана.

Тя е била открита през юни от експерти на компанията за сигурност Wiz, докато са работели по интегриране на техните системи с OCI. "Когато се опитахме да се свържем с виртуалния диск на друг OCI потребител, бяхме изненадани да установим, че операцията е успешна! Получихме достъп както за четене, така и за запис до друг акаунт, който не ни принадлежи", обяснява Шир Тамари, ръководител изследвания в Wiz. - Всеки виртуален диск в облака на Oracle има уникален идентификатор, наречен OCID. Той не се счита за секретен."

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОК