.
Uma vulnerabilidade “crítica” do Oracle Cloud Infrastructure poderia ter sido explorada por qualquer cliente para ler e gravar dados pertencentes a qualquer outro cliente da OCI sem nenhuma verificação de permissão, de acordo com pesquisadores de segurança da Wiz.
Felizmente, ao divulgar o bug para a Oracle, a gigante de TI corrigiu a falha de segurança “dentro de 24 horas”, de acordo com Elad Gabay, da Wiz. A boa notícia é que a correção não exigiu nenhuma ação por parte dos clientes.
Essencialmente, a falha, conforme descrito por Wiz, poderia ser explorada assim: se você conhecesse o Oracle Cloud Identifier para o volume de armazenamento de outro cliente – o que não é segredo – você poderia anexar esse volume à sua própria máquina virtual na nuvem da Oracle, desde que pois o volume ainda não estava anexado ou suportava vários anexos. Portanto, obtenha o identificador, anexe um volume, acesse-o como se fosse seu, incluindo qualquer informação sensível sobre ele. A infraestrutura da Oracle não verificou se você tinha permissão para anexar o armazenamento.
O bug, apelidado de AttachMe por Wiz – uma equipe de segurança na nuvem, natch – serve como um alerta sobre vulnerabilidades de isolamento de nuvem e como os invasores podem explorar essas falhas para “quebrar as paredes entre os inquilinos”, Gabay escreveu hoje mais cedo.
Vamos torcer para que a equipe Wiz tenha encontrado a falha antes de qualquer criminoso. A exploração do AttachMe poderia ter permitido que um invasor garimpasse informações valiosas no armazenamento ou se aprofundasse no ambiente de nuvem da vítima, alterando programas para incluir backdoors e malware, de acordo com os pesquisadores de segurança.
Ganhar acesso de gravação, explicou Gabay, “poderia ser usado para manipular quaisquer dados no volume, incluindo o tempo de execução do sistema operacional (modificando binários, por exemplo), obtendo assim a execução de código sobre a instância de computação remota e um ponto de apoio no ambiente de nuvem da vítima , uma vez que o volume é usado para inicializar uma máquina.”
Os engenheiros da Wiz descobriram a falha durante o verão enquanto construíam um conector OCI para sua própria pilha de tecnologia. Durante esse processo, eles descobriram que podiam anexar o disco virtual disponível de qualquer pessoa às suas próprias instâncias de VM. Fomos informados de que é bastante fácil encontrar o Oracle Cloud Identifier de alguém por meio de uma pesquisa na web ou usando uma permissão de usuário com poucos privilégios para ler o identificador do ambiente da vítima.
Depois de obter o identificador de volume da vítima, um criminoso teria que ativar uma instância de computação no mesmo Domínio de Disponibilidade (AD) que o volume de destino. Uma vez anexado, o invasor obtém privilégios de leitura e gravação sobre o volume.
Ninguém na Oracle estava disponível para comentar.
O chefe de pesquisa da Wiz, Shir Tamari, em uma série de tweets sobre a vulnerabilidade, observou que sua causa raiz foi a falta de verificação de permissões na API AttachVolume. Foi também a primeira vez que os pesquisadores da Wiz, que pesquisaram várias nuvens em busca desse tipo de vulnerabilidade entre locatários, encontraram uma na infraestrutura de um provedor de serviços em nuvem. notado.
No início deste ano, os pesquisadores da Wiz encontraram um vulnerabilidade de isolamento de nuvem semelhante que afetou um serviço de nuvem específico no Azure. Essas falhas, que a Microsoft corrigiu, estavam no processo de autenticação do Banco de Dados do Azure para PostgreSQL Flexible Server.
Se explorados, eles poderiam permitir que qualquer administrador do Postgres ganhasse privilégios de superusuário e acessasse bancos de dados de outros clientes.
No mês passado, a loja de segurança em nuvem disse que esse mesmo tipo de falha do PostgreSQL também afetou Serviços de nuvem do Google. ®
.
