Araştırmacılar, kullanıcılar tarafından diğer Oracle müşterilerinin sanal disklerine erişmek için kullanılabilecek yeni bir ciddi Oracle Bulut Altyapısı (OCI) güvenlik açığını açıkladı.

Wiz’in araştırma başkanı Shir Tamari, “Oracle’ın bulutundaki her sanal diskin OCID adında benzersiz bir tanımlayıcısı var,” dedi. söz konusu bir dizi tweet’te. “Bu tanımlayıcı gizli olarak kabul edilmiyor ve kuruluşlar buna böyle davranmıyor.”

Tamari, “Şu anda aktif bir sunucuya bağlı olmayan veya paylaşılabilir olarak yapılandırılmamış bir kurbanın diskinin OCID’si göz önüne alındığında, bir saldırgan ona ‘eklenebilir’ ve üzerinde okuma/yazma elde edebilir,” diye ekledi Tamari.

Kiracı izolasyon güvenlik açığı olarak adlandırılan bulut güvenlik firması “beni ekle,” dedi Oracle sorunu yamalı 9 Haziran 2022’deki sorumlu açıklamanın ardından 24 saat içinde.

Oracle Bulut Altyapısı
Yeterli izinler olmadan CLI kullanarak bir birime erişme

Özünde, güvenlik açığı, herhangi bir açık yetkilendirme olmaksızın Oracle Bulut Tanımlayıcı (OCID) aracılığıyla bir diskin başka bir hesaptaki bir bilgi işlem örneğine eklenebilmesi gerçeğinden kaynaklanmaktadır.

Bu, OCID’ye sahip bir saldırganın herhangi bir depolama birimine erişmek için AttachMe’den yararlanabileceği ve bunun sonucunda verilerin açığa çıkması, sızdırılması veya daha da kötüsü, kod yürütme elde etmek için önyükleme birimlerini değiştirebileceği anlamına geliyordu.

Hedef birimin OCID’sini bilmenin yanı sıra, saldırıyı gerçekleştirmek için bir diğer ön koşul, düşman örneğinin hedefle aynı Erişilebilirlik Alanında (AD) olması gerektiğidir.

Wiz araştırmacısı Elad Gabay, “Kullanıcı izinlerinin yetersiz doğrulanması, bulut hizmeti sağlayıcıları arasında yaygın bir hata sınıfıdır.” Dedi. “Bu tür sorunları belirlemenin en iyi yolu, geliştirme aşamasındaki her hassas API için titiz kod incelemeleri ve kapsamlı testler yapmaktır.”

Bulgular, Microsoft’un PostgreSQL Esnek Sunucu için Azure Veritabanı ile ilgili bir bölgede yetkisiz hesaplar arası veritabanı erişimine neden olabilecek bir çift sorunu çözmesinden yaklaşık beş ay sonra geldi.



siber-2