{"id":377233,"date":"2022-09-22T09:58:26","date_gmt":"2022-09-22T11:58:26","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-revelent-une-vulnerabilite-critique-dans-oracle-cloud-infrastructure\/"},"modified":"2022-09-22T09:58:28","modified_gmt":"2022-09-22T11:58:28","slug":"des-chercheurs-revelent-une-vulnerabilite-critique-dans-oracle-cloud-infrastructure","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-revelent-une-vulnerabilite-critique-dans-oracle-cloud-infrastructure\/","title":{"rendered":"Des chercheurs r\u00e9v\u00e8lent une vuln\u00e9rabilit\u00e9 critique dans Oracle Cloud Infrastructure"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les chercheurs ont r\u00e9v\u00e9l\u00e9 une nouvelle vuln\u00e9rabilit\u00e9 grave d&#8217;Oracle Cloud Infrastructure (OCI) qui pourrait \u00eatre exploit\u00e9e par les utilisateurs pour acc\u00e9der aux disques virtuels d&#8217;autres clients Oracle.<\/p>\n<p>&#8220;Chaque disque virtuel dans le cloud d&#8217;Oracle poss\u00e8de un identifiant unique appel\u00e9 OCID&#8221;, a d\u00e9clar\u00e9 Shir Tamari, responsable de la recherche chez Wiz. <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/shirtamari\/status\/1572223325719646211\" target=\"_blank\">a dit<\/a> dans une s\u00e9rie de tweets.  &#8220;Cet identifiant n&#8217;est pas consid\u00e9r\u00e9 comme secret et les organisations ne le traitent pas comme tel.&#8221;<\/p>\n<p>&#8220;\u00c9tant donn\u00e9 l&#8217;OCID du disque d&#8217;une victime qui n&#8217;est pas actuellement connect\u00e9 \u00e0 un serveur actif ou configur\u00e9 comme partageable, un attaquant pourrait &#8216;s&#8217;y connecter&#8217; et obtenir une lecture\/\u00e9criture dessus&#8221;, a ajout\u00e9 Tamari.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/Des-chercheurs-revelent-une-vulnerabilite-critique-dans-Oracle-Cloud-Infrastructure.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>L&#8217;entreprise de s\u00e9curit\u00e9 cloud, qui a surnomm\u00e9 la vuln\u00e9rabilit\u00e9 d&#8217;isolement des locataires &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/www.wiz.io\/blog\/attachme-oracle-cloud-vulnerability-allows-unauthorized-cross-tenant-volume-access\" target=\"_blank\"><strong>Attachez-moi<\/strong><\/a>&#8220;, a d\u00e9clar\u00e9 Oracle <a rel=\"nofollow noopener\" href=\"https:\/\/www.oracle.com\/security-alerts\/cpujul2022.html\" target=\"_blank\">corrig\u00e9 le probl\u00e8me<\/a> dans les 24 heures suivant la divulgation responsable le 9 juin 2022.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"Infrastructure cloud Oracle\" border=\"0\" data-original-height=\"576\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/Des-chercheurs-revelent-une-vulnerabilite-critique-dans-Oracle-Cloud-Infrastructure.jpg\" title=\"Infrastructure cloud Oracle\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">Acc\u00e9der \u00e0 un volume \u00e0 l&#8217;aide de la CLI sans autorisations suffisantes<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>\u00c0 la base, la vuln\u00e9rabilit\u00e9 est enracin\u00e9e dans le fait qu&#8217;un disque pourrait \u00eatre attach\u00e9 \u00e0 une instance de calcul dans un autre compte via l&#8217;Oracle Cloud Identifier (OCID) sans aucune autorisation explicite.<\/p>\n<p>Cela signifiait qu&#8217;un attaquant en possession de l&#8217;OCID aurait pu tirer parti d&#8217;AttachMe pour acc\u00e9der \u00e0 n&#8217;importe quel volume de stockage, entra\u00eenant l&#8217;exposition des donn\u00e9es, l&#8217;exfiltration ou, pire, la modification des volumes de d\u00e9marrage pour obtenir l&#8217;ex\u00e9cution du code.<\/p>\n<p>Outre la connaissance de l&#8217;OCID du volume cible, une autre condition pr\u00e9alable pour r\u00e9ussir l&#8217;attaque est que l&#8217;instance de l&#8217;adversaire doit se trouver dans le m\u00eame domaine de disponibilit\u00e9 (AD) que la cible.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1663847906_135_Des-chercheurs-revelent-une-vulnerabilite-critique-dans-Oracle-Cloud-Infrastructure.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>&#8220;La validation insuffisante des autorisations des utilisateurs est une classe de bogues courante chez les fournisseurs de services cloud&#8221;, a d\u00e9clar\u00e9 Elad Gabay, chercheur chez Wiz.  &#8220;La meilleure fa\u00e7on d&#8217;identifier ces probl\u00e8mes est d&#8217;effectuer des revues de code rigoureuses et des tests complets pour chaque API sensible en phase de d\u00e9veloppement.&#8221;<\/p>\n<p>Les r\u00e9sultats arrivent pr\u00e8s de cinq mois apr\u00e8s que Microsoft a r\u00e9solu deux probl\u00e8mes avec le serveur flexible Azure Database pour PostgreSQL qui pourraient entra\u00eener un acc\u00e8s non autoris\u00e9 \u00e0 la base de donn\u00e9es entre comptes dans une r\u00e9gion.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/researchers-disclose-critical.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les chercheurs ont r\u00e9v\u00e9l\u00e9 une nouvelle vuln\u00e9rabilit\u00e9 grave d&#8217;Oracle Cloud Infrastructure (OCI) qui pourrait \u00eatre exploit\u00e9e par les utilisateurs pour acc\u00e9der aux disques virtuels d&#8217;autres clients Oracle. &#8220;Chaque disque virtuel dans le cloud d&#8217;Oracle poss\u00e8de un identifiant unique appel\u00e9 OCID&#8221;, a d\u00e9clar\u00e9 Shir Tamari, responsable de la recherche chez Wiz. a dit dans une s\u00e9rie [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":377234,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[12848,22780,4168,22,4158,4165,4161,429,133,4055,4157,4159,4171,4170,4167,4160,4163,4162,82197,14397,4172,4169,196,4166,3667,4164],"class_list":["post-377233","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chercheurs","tag-cloud","tag-comment-pirater","tag-critique","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-des","tag-infrastructure","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-oracle","tag-revelent","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/377233","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=377233"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/377233\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/377234"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=377233"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=377233"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=377233"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}