Güvenlik açığı, bulut izolasyon korumasını atlamak için kullanılmış olabilir
Oracle, bulut altyapısında, saldırganların veri çalmasına veya istemci dosyalarını kurcalamasına izin verebilecek kritik bir güvenlik açığını yamaladı.
20 Eylül’de Wiz güvenlik araştırmacısı Elad Gabay, Oracle Cloud Infrastructure (OCI) incelemesinin ardından Haziran ayında bulunan güvenlik açığını kamuya açıkladı.
#AttachMe olarak adlandırılan “önemli” hata bir soruna odaklanıyor: OCI’ye birimler eklerken izin koruması eksikliği.
saldırı yolu
Saldırı, hedefin benzersiz tanımlayıcısının, herkese açık bilgiler veya düşük ayrıcalıklı bir hesap aracılığıyla bulunabilen bulut ortamı kimliğinin (OCID) kullanılmasıyla başlar.
Bir tehdit aktörü, kurbanın birimini örneğe eklemeden önce, hedef birim ile aynı kullanılabilirlik etki alanında (AD) bulunan, saldırgan tarafından kontrol edilen bir kiracıda bir örnek başlatır.
En son bulut güvenliği haberlerinin devamını okuyun
OCI, tasarımı gereği, tek bir birimin aynı anda birden çok örneğe eklenmesini destekler.
Yetkilendirme kontrollerinin olmaması, yeterli izinleri olsun ya da olmasın, saldırganın hedef birim üzerinde okuma/yazma ayrıcalıklarına sahip olmasını sağlayacaktır.
Sonuç olarak, saldırganların bilgileri çalmak veya değiştirmek, açık metin sırlarını aramak veya birim boyunca yanlamasına hareket etmek için bu yolu kullanmaları mümkün olabilir.
En kötü durum senaryosu
En kötü senaryoda, saldırganlar kod yürütmeyi sağlamak için ikili dosyaları manipüle ederek potansiyel olarak bir ortamı ele geçirebilir.
Gabay, “Yama uygulanmadan önce #AttachMe, saldırganların diğer kullanıcıların OCI depolama birimlerine izinsiz olarak erişmesine ve bunları değiştirmesine izin verebilirdi, böylece bulut izolasyonunu ihlal edebilirdi” dedi.
Wiz, güvenlik açığının tüm OCI müşterilerini etkileyebileceğini veya bireysel istemci hizmetlerinin altyapısını hedeflemek için kullanılmış olabileceğini de sözlerine ekledi.
Wiz güvenlik ekibi, keşiften üç gün sonra, 9 Haziran’da bulgularını Oracle’a açıkladı.
Oracle, 10 Haziran’daki güvenlik raporunu kabul etti ve aynı gün güvenlik açığı onaylanıp düzeltildi. OCI müşteri eylemi gerekmez.
En son siber güvenlik açığı haberlerini yakalayın
Ile konuşmak Günlük SwigWiz araştırmacısı Sagi Tzadik, zafiyetin gerçek dünyadaki sonuçlarının, oracle tarafından çok hızlı bir şekilde yamalanmadıysa, oldukça ciddi olabileceğini söyledi.
“Bu, potansiyel olarak tüm OCI müşterileri için ciddi düzeyde hassas veri sızıntısına yol açabilir ve bazı senaryolarda, kurbanın bulut ortamında daha fazla hareket için bir ilk giriş noktası sağlayarak, ortamlarında uzaktan kod yürütme elde etmek için bile kullanılabilir” yorumunu yaptı.
“OCID’ler genellikle özel olsa da, sır olarak kabul edilmezler. Bu kimlikleri hızlı bir GitHub veya Google aramasından elde etmek nispeten mümkün.”
Oracle yorum yapmaktan kaçındı, ancak firmanın Temmuz 2022 Kritik Yama Güncelleme notlarında Gabay’a teşekkür etti.
Wiz, “Kullanıcı izinlerinin yetersiz doğrulanması, bulut hizmeti sağlayıcıları arasında yaygın bir hata sınıfıdır” diye ekledi.
“Bu tür sorunları belirlemenin en iyi yolu, geliştirme aşamasında her hassas API için titiz kod incelemeleri ve kapsamlı testler yapmaktır. Ayrıca, bu tür sorunlarda etkili oldukları kanıtlanmış olduğundan, hizmete özel sızma testleri gerçekleştirmenizi ve hata ödül programlarına katılmanızı öneririz.”
KAÇIRMAYIN 2007’den itibaren tarfile yolu geçiş hatası 350k açık kaynak deposunda hala mevcut