Bulut güvenliği, siber suç, sahtekarlık yönetimi ve siber suç
Oracle Cloud Altyapı Kusurlu Kötü Amaçlı Dosya Yüklemeleri, Araştırmacılar Bulundu
Mathew J. Schwartz (Euroinfosec) •
16 Temmuz 2025
Oracle Cloud Altyapı’nın bulut kabuğu yeteneklerini keşfeden araştırmacılar, Oracle’ın sıkı bir şekilde entegre kod düzenleyicisinin kötü amaçlı yazılım yüklemek için sürücü saldırıları yoluyla sessizce kullanılabileceğini buldular.
Ayrıca bakınız: Bulut Algılama ve Yanıt Alıcının Kılavuzu
Güvenlik Açığı Yönetimi Sağlayıcısı Çarşamba günü Tenable, Oracle’a kritik uzaktan kumanda yürütme güvenlik açığını keşfettiğini ve bildirdiğini ve kullanıcıların korunduğunu da sözlerine ekledi.
Buna rağmen, keşif, zengin, modern bulut ortamlarına ilişkin devam eden bir zorluğu vurguluyor, Tenable Research’te kıdemli bir güvenlik araştırmacısı olan kıdemli böcek avcısı Liv Matan. “Entegrasyonlar sadece kolaylıklar değil, güvenlik açıkları için potansiyel noktalardır” dedi.
Yaygın olarak kullanılan Oracle Cloud altyapısı veya OCI, kullanıcılara kaplar ve depolamadan VMware ve yapay zekaya kadar 150’den fazla bulut hizmeti sunar. Binlerce işletme ve çok sayıda hükümet, Deloitte Consulting, GE Appliances, Hewlett Packard Enterprise, Xerox ve Belçika’daki Avrupa Parlamentosu’nun irtibat ofisi dahil olmak üzere OCI kullanıyor.
OCI’da, GIT ve Java dahil olmak üzere geliştirici araçlarına erişim sağlayan Oracle Cloud konsolundan erişilebilen tam, tarayıcı tabanlı bir Linux terminali olan Cloud Shell yer alıyor.
OCI’yı inceleyen araştırmacılar, Cloud Shell’in çok iyi güvenli göründüğünü buldular.
Aynı şey, Oracle’ın “altyapı kurulumu veya kurulumu gerektirmeyen ve OCI konsolu, Desteklenen Hizmetler ve Oracle Cloud Altyapı Bulut Kabuğu içinde herhangi bir yerden başlatılabilen” konsol tabanlı bir kod düzenleme aracı olarak tanımladığı kod düzenleyicisi için de geçerli değildi. Araç, Kaynak Yöneticisi, Fonksiyonlar ve Veri Bilimi ve GIT entegrasyonu dahil olmak üzere çoklu temel OCI hizmetleriyle entegrasyonları içerir.
Matan Çarşamba günü yayınlanan bir araştırma raporunda, “Kod editörü genellikle araştırmacılar ve kullanıcılar tarafından kum havuzu, izole bir alan olarak ele alınıyor, ancak kaynak yöneticisi, işlevleri ve veri bilimi ile derin arayüzü aksini gösteriyor.” Dedi.
Bu nedenle araştırmacılar, kod düzenleyicisine ilişkin bu basit sondaj sorusunu araştırdılar: “Bir geliştirici dosya kolayca yükleyebilirse, bir saldırgan olabilir mi?”
Cevabın olumlu olduğu ortaya çıktı. Cloud Shell, tüm yüklemeleri dikkatlice taramış gibi görünse de, tarayıcı tabanlı kod düzenleyicisi ” /file-upload Siteler arası talep ambalgeti olmayan son nokta – CSRF – Savunma, “Matan dedi.
Araştırmacıların Oracle ile paylaşılan bir kavram kanıtı istismarında gösterdiği gibi, “Bir saldırgan, doğrulanmış bir Oracle Cloud altyapı kullanıcısı tarafından ziyaret edildiğinde, bilgisi olmadan bulut düzenleyicilerine kötü amaçlı bir dosya yükleyecek bir web sayfası oluşturabilir.” Kod Düzenleyicisi bulut kabuğu dosya sisteminin üzerine oluşturulduğundan, bu dosya yüklemesi doğrudan bir kurbanın bulut kabuğuna gider ve uzaktan kodu yürütmelerine izin verir.
Kod düzenleyicisi bulut kabuğu dosya sistemini etkileyebileceğinden, saldırganlar diğer entegre hizmetlere ulaşmak için kusurdan da yararlanabilir.
Matan, “Saldırganlar ayrıca kaynak yöneticisi, işlevler veya veri bilimi hizmetleri tarafından kullanılan dosyalara da kurcalayabilir, bunların hepsi bu paylaşılan ortama dayanıyorlar.” Dedi. “Örneğin, kötü amaçlı kodun dağıtılan bir işleve enjekte edilmesi veya kaynak yöneticisi çalışma alanını değiştirmek, OCI hizmetleri arasında daha geniş bir uzlaşmaya yol açabilir. Özünde, bulut kabuğuna yönelik basit bir CSRF’den yararlanma dosyası, çok yüzlü bir tehdide neden olur ve sadece kabuğun tam seti değil, aynı zamanda tam bir süitte değil.
Oracle’s Fix, adlı özel bir HTTP başlığı ekleyerek CSRF koruması eklemek oldu. x-csrf-token değerle csrf-value Matan, “Yalnızca yetkili, doğru bir şekilde oluşturulan taleplerin, sunucu tarafından kabul edilmesini sağlamak” dedi. “Bu başlık olmadan, daha önce sömürülebilir davranışı etkili bir şekilde hafifleterek talepler reddedilir.”
Bu düzeltme CSRF’ye karşı önlemler, çünkü Mozilla’nın belirttiği gibi, “tarayıcılar, komut dosyalarından başlatılan çapraz orijin HTTP isteklerini kısıtlar”, JavaScript de dahil olmak üzere, hedef sunucu, bu kapasiteyi çapraz orijin kaynak paylaşımı veya CORS yoluyla açıkça izin vermedikçe, farklı bir orijin özel başlıklar ayarlayamadığı sürece.
Tenable, Oracle Flaw’ın bulut ortamlarındaki uzun bir katmanlı güvenlik sorunlarının en sonuncusu olduğunu söyledi. Bulut ortamlarını güvence altına almak Jenga’nın bir oyunu gibidir, Tenable, oyuncuların alttan blokları kaldırdıkları ve üstüne yerleştirdikleri, kuleyi çökerek kaybeden biri olmayı amaçlayan (bkz: bkz: Google Cloud Fix Bloklar Yetkisiz Konteyner Erişim).
“Bulut hizmetleri bloklar gibi,” dedi Matan. “Bir hizmetten ödün verilirse, üzerine inşa edilmiş diğer hizmetler risk ve güvenlik açığını miras alır.”