Tenable Research, Oracle Cloud Altyapı Kod Düzenleyicisinde, saldırganların tek bir kötü amaçlı bağlantı aracılığıyla kurban bulut kabuğu ortamlarını sessizce ele geçirmesini sağlayan kritik bir uzaktan kod yürütme (RCE) güvenlik açığını açıkladı.
Oracle tarafından iyileştirilen güvenlik açığı, tehdit aktörlerinin birden fazla OCI hizmetinde dönmesine ve entegre geliştirici araçlarını tehlikeye atmasına izin verebilirdi.
Güvenlik Açığı Detayları ve Keşif
Güvenlik kusuru, Oracle’ın Kod Düzenleyici Dosya Yükleme Mekanizmasında Siteler Arası Talep Arıtma (CSRF) zayıflığından kaynaklandı.
Araştırmacılar, tarayıcı tabanlı entegre geliştirme ortamının, altta yatan dosya sistemini bulut kabuğu ile paylaştığını ve sıkı entegrasyonları yoluyla beklenmedik bir saldırı yüzeyi oluşturduğunu keşfettiler.
Güvenlik açığı, uygun CSRF korumalarından yoksun bir /dosya yükleme uç noktasını maruz bırakan bir bulut kabuğu yönlendirici bileşenine odaklanmıştır. Kimlik doğrulama çerezi, siteler arası isteklere karşı koruma sağlamayan bir Samesite = None özniteliği ile yapılandırıldı.
Bu yapılandırma, herhangi bir harici web sitesinin, Oracle Cloud altyapısına doğrulanmışlarsa, kurbanın bulut kabuğu ortamına dosya yüklemelerini tetiklemesine izin verdi.
Tenable araştırmacılar, “Araştırmamız basit bir hedefle başladı: Güvenlik duruşunu daha iyi anlamak için Oracle Cloud altyapısının bulut kabuğunu keşfedin” diye açıkladı. “Tehlike her zaman gördüğünüz şeyde değil, genellikle perde arkasına sessizce entegre olan şeyde.”
Saldırı vektörü oldukça basit ama yıkıcıydı. Saldırganlar, kimliği doğrulanmış bir OCI kullanıcısı tarafından ziyaret edildiğinde, .bashrc gibi hassas konumlara sessizce kötü amaçlı dosyalar yükleyecek kötü amaçlı bir HTML sayfası oluşturabilir.
Mağdurlar bir sonraki bulut kabuğunu başlattıklarında, kötü amaçlı kod otomatik olarak yürütülecek, uzaktan erişim sağlayacak ve potansiyel olarak kurbanın bulut kimliğini kullanarak OCI hizmetleri arasında yanal harekete izin verecektir.
Konsept kanıtı, saldırganların ters kabuklar oluşturmak için kabuk yapılandırma dosyalarını nasıl geçersiz kılabileceğini, kurbanın bulut kabuğu ortamına etkileşimli erişim elde edebileceğini ve daha fazla uzlaşma için OCI CLI özelliklerinden yararlanabileceğini gösterdi.
Bulut kabuğu erişiminin ötesinde, güvenlik açığı, Kod Editörün Kaynak Yöneticisi, Fonksiyonlar ve Veri Bilimi de dahil olmak üzere entegre hizmetleri için risk oluşturdu.
Bu hizmetler aynı dosya sistemi ortamını paylaştığından, saldırganlar dağıtılan işlevleri kurcalayabilir, kaynak yöneticisi çalışma alanlarını değiştirebilir veya veri bilimi iş akışlarını tehlikeye atabilir ve OCI’nın geliştirici araç setinde çok yüzlü bir tehdit oluşturabilir.
Oracle, ilgili tüm istekler için özel bir HTTP başlığı (X-CSRF-Token) gerektiren ek CSRF korumaları uygulayarak güvenlik açığını ele aldı.
Bu hafifletme, tarayıcılar uygun CORS konfigürasyonu olmadan keyfi özel başlıklar ayarlayamadığı için yetkisiz çapraz orijin isteklerini etkili bir şekilde engeller.
Güvenlik açığı, kolaylık özelliklerinin yanlışlıkla yeni saldırı vektörleri oluşturabileceği sıkı bir şekilde entegre bulut hizmetlerinin sağladığı güvenlik zorluklarını vurgular.
Oracle Cloud altyapısı kullanan kuruluşlar, benzer güvenlik açıklarına karşı korumak için ortamlarının en son güvenlik yamalarıyla güncellenmesini sağlamalıdır.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now