Araştırmacılar, Oracle Bulut Altyapısındaki (OCI) bir güvenlik açığının temelde herhangi bir kullanıcının diğer herhangi bir OCI müşterisine ait verileri okumasına ve yazmasına izin verebileceğini iddia etti.
Bulut güvenlik firması Wiz’den uzmanlar, kendi teknoloji yığınları için bir OCI konektörü oluştururken güvenlik açığına rastladıklarını ve diğer kişilerin sanal disklerini sanal makine örneklerine ekleyebileceklerini keşfettiklerini söyledi. İhtiyaç duyacakları tek şey, diğer kişinin deposudur. (yeni sekmede açılır) birim Oracle Bulut Tanımlayıcısı ve diğer kişinin biriminin çoklu eki desteklediğini (veya önceden eklenmemiş olduğunu).
Tüm bunlar uyumlu hale getirildiğinde, potansiyel bir tehdit aktörü ciltte bulunan her türlü hassas bilgiye erişebilir ve işleri daha da kötüleştirmek için üzerine yazabilir.
Kod yürütme
Bulguların açıklanması Blog yazısı (yeni sekmede açılır)Wiz’den Elad Gabay, kusurun “işletim sistemi çalışma zamanı (örneğin ikili dosyaları değiştirerek) dahil olmak üzere birimdeki herhangi bir veriyi değiştirmek için kullanılabileceğini, böylece uzak bilgi işlem örneği üzerinden kod yürütme ve kurbanın bulutunda bir dayanak elde etmek için kullanılabileceğini söyledi. (yeni sekmede açılır) ortam, birim bir makineyi başlatmak için kullanıldığında.”
Oracle, güvenlik açığını gidermek için hızla harekete geçti. Gabay, kusuru öğrendikten sonra 24 saat içinde düzelttiğini ve müşterilerden herhangi bir ek işlem yapılmasına gerek olmadığını belirtti.
Kayıt Wiz’in araştırma başkanı Shir Tamari tarafından bir Twitter ileti dizisi tespit edildi ve burada temel sorunun AttachVolume API’sinde izin doğrulama eksikliğinde yattığı açıklandı.
Bilmediğimiz şey, herhangi birinin kusuru aktifken kötüye kullanıp kullanmadığı ve eğer yaptılarsa, bunun yalnızca veri çalmak, kötü amaçlı yazılım veya hatta fidye yazılımı dağıtmak için olup olmadığıdır. Şimdiye kadar, böyle bir şeyin olduğuna dair bir kanıt yok. Temsilcileri şirketin yorum yapmayacağını söyleyen Oracle’a ulaştık.
Aracılığıyla: Kayıt (yeni sekmede açılır)