Wiz güvenlik araştırmacısı Elad Gabay, Oracle Cloud Infrastructure’da (OCI) bir müşterinin başka bir müşterinin verilerini izinsiz olarak aynı platformda okumak/yazmak için kullanmış olabileceği kritik bir güvenlik açığı keşfettiklerini bildirdi.
Bu, güvenlik açığının herhangi bir Oracle müşterisinin başka bir müşterinin Bulut depolama verilerine yetkisiz erişimine izin verebileceği anlamına gelir.
İyi haber şu ki, Wiz araştırmacıları Oracle’a hatayı bildirdiğinde, BT firması bunu 24 saat içinde düzeltti. Daha da iyi haber, müşterilerin düzeltmeyle ilgili herhangi bir şey yapmasına gerek olmamasıdır.
Güvenlik Açığı Analizi
Araştırmacılar tarafından AttachMe olarak adlandırılan güvenlik açığı, bulut izolasyon güvenlik açıklarının ve tehdit aktörlerinin başka birinin verilerine yetkisiz erişim elde etmek için kusurlardan nasıl yararlanabileceğinin en iyi örneklerinden biridir.
Wiz’in blog gönderisine göre güvenlik açığı, Wiz tarafından Haziran 2022’de keşfedildi ve tüm OCI müşterilerini etkileyebilecek ve bulut depolamanın en önemli müşteri veri güvenliği taahhüdünü ihlal edebilecek en ciddi bulut güvenlik açıklarından biri olarak kabul edildi.
AttachMe, tüm OCI müşterilerini etkileyebileceği için bildirilen en ciddi bulut güvenlik açıklarından biridir. Bulut izolasyon güvenlik açıkları genellikle belirli bir bulut hizmetini etkiler. Ancak bu durumda, etki bir çekirdek bulut hizmetiyle ilgilidir.
Elad Kılavuzu – Wix
Alakalı haberler
- Saldırganlar Oracle WebLogic Kusurunu Kullanarak Monero’da 266 bin ABD Doları Madencilik Yapıyor
- Oracle, Google ve Microsoft, 2021’de çoğu güvenlik açığını oluşturdu
- Oracle’ın Hizmet Noktası Bölümü MICROS, Büyük Veri İhlaliyle Karşılaşıyor
- Hackerlar Cisco, IBM ve Oracle Certification Manager’ı Çalmak İçin Kötü Amaçlı Yazılım Kullanıyor
Güvenlik Açığını Kullanmak
Gabay, tehdit aktörünün bir müşterinin depolama birimi için Oracle Cloud Identifier’ı bilmesi durumunda kusurun kullanılabilir olduğunu söyledi. Tanımlanan bu gizli veri olmadığından, birim önceden eklenmemişse veya birden çok eki desteklemiyorsa, bu birimi Oracle’ın bulutundaki aktörün sanal makinesine eklemek mümkündü.
Bu nedenle, saldırganın ihtiyaç duyduğu tek şey, hedef kullanıcının hassas verileri de dahil olmak üzere bir birim eklemek ve depolama birimine erişmek için tanımlayıcıydı. Belki de kusur, Oracle Altyapısının depolamayı bağlama iznini doğrulamaması nedeniyle ortaya çıktı ve bu da soruna neden oldu.
Birinin bulut depolama alanını ele geçirdikten sonra, bir tehdit aktörü hassas verileri sızdırmak, kodu değiştirmek ve ayrıcalık yükseltmesi kazanmak gibi çeşitli yıkıcı eylemler gerçekleştirebilir. Yine de güvenlik açığı giderildiği için kullanıcıların endişelenmesine gerek yok.
Daha Fazla Güvenlik Açığı Haberi
- Kritik WordPress eklenti güvenlik açığı veritabanlarının silinmesine izin verdi
- Yama uygulamasına rağmen Windows Installer güvenlik açığından yararlanan saldırganlar
- Kritik Amazon Ring Güvenlik Açığı Kamera Kayıtlarını Ortaya Çıkarabilir
- Saldırganlar, Verilerin Üzerine Yazmak için Dirty Pipe Linux Güvenlik Açığını Kullanabilir
- Nadir NFT Piyasası Güvenlik Açığı Saldırganların Kripto Varlıklarını Aktarmasına İzin Veriyor