Wiz güvenlik araştırmacılarına göre, “kritik” bir Oracle Bulut Altyapısı güvenlik açığı, herhangi bir müşteri tarafından, herhangi bir diğer OCI müşterisine ait verilere herhangi bir izin kontrolü olmaksızın okuma ve yazma erişimi elde etmek için kullanılabilirdi.
Neyse ki, Wiz’den Elad Gabay’a göre, BT devi hatayı Oracle’a açıkladıktan sonra güvenlik açığını “24 saat içinde” düzeltti. İyi haber şu ki, düzeltme, müşterilerin herhangi bir işlem yapmasını gerektirmiyor.
Esasen, Wiz tarafından açıklandığı gibi kusur şu şekilde kullanılabilir: Başka bir müşterinin depolama birimi için Oracle Bulut Tanımlayıcı’yı bilseydiniz – ki bu bir sır değil – bu birimi Oracle’ın bulutundaki kendi sanal makinenize ekleyebilirsiniz. birim zaten eklenmediğinden veya çoklu eki desteklemediğinden. Bu nedenle, tanımlayıcıyı edinin, bir cilt ekleyin, üzerindeki hassas bilgiler de dahil olmak üzere sizinmiş gibi ona erişin. Oracle’ın altyapısı, depolamayı ekleme izniniz olup olmadığını kontrol etmedi.
Gabay, bugün erken saatlerde yazdığı bir yazıda, Wiz tarafından AttachMe olarak adlandırılan – bir bulut güvenlik teçhizatı, natch – bulut izolasyon güvenlik açıkları ve saldırganların bu açıkları “kiracılar arasındaki duvarları kırmak” için nasıl kullanabilecekleri hakkında uyarıcı bir hikaye görevi görüyor.
Wiz ekibinin kusuru herhangi bir suçlu bulmadan önce bulmasını umalım. Güvenlik araştırmacılarına göre, AttachMe’den yararlanmak, bir saldırganın değerli bilgiler için depolama madenciliği yapmasına veya programları arka kapılar ve kötü amaçlı yazılımları içerecek şekilde değiştirerek kurbanın bulut ortamına daha derine inmesine izin verebilirdi.
Gabay, yazma erişimi elde etmenin, “işletim sistemi çalışma zamanı (örneğin ikili dosyaları değiştirerek) dahil olmak üzere birim üzerindeki herhangi bir veriyi değiştirmek için kullanılabilir, böylece uzak bilgi işlem örneği üzerinden kod yürütme ve kurbanın bulut ortamında bir dayanak elde etmek için kullanılabilir. , birim bir makineyi başlatmak için kullanıldığında.”
Wiz’in mühendisleri, yaz boyunca kendi teknoloji yığınları için bir OCI konektörü oluştururken kusuru keşfettiler. Bu işlem sırasında, herkesin kullanılabilir sanal diskini kendi sanal makine örneklerine ekleyebileceklerini gördüler. Bir web araması yoluyla veya kurbanın ortamından tanımlayıcıyı okumak için düşük ayrıcalıklı bir kullanıcı izni kullanarak birinin Oracle Bulut Tanımlayıcısını bulmanın oldukça kolay olduğu söylendi.
Kurbanın birim tanımlayıcısını aldıktan sonra, kötü niyetli bir kişinin hedef birim ile aynı Erişilebilirlik Etki Alanında (AD) bir bilgi işlem örneğini döndürmesi gerekir. Bağlandıktan sonra, saldırgan birim üzerinde okuma ve yazma ayrıcalıkları elde eder.
Wiz’in araştırma başkanı Shir Tamari, bir dizi tweetler güvenlik açığı hakkında, temel nedeninin AttachVolume API’sinde izin doğrulamasının olmaması olduğunu kaydetti. Ayrıca, bu tür kiracılar arası güvenlik açıkları için çeşitli bulutları araştıran Wiz araştırmacıları, bir bulut hizmeti sağlayıcısının altyapısında ilk kez bir tane buldu. kayıt edilmiş.
Bu yılın başlarında, Wiz araştırmacıları Azure’daki belirli bir bulut hizmetini etkileyen benzer bir bulut izolasyon güvenlik açığı buldular. Microsoft’un düzelttiği bu kusurlar, PostgreSQL Esnek Sunucusu için Azure Veritabanı’nın kimlik doğrulama işlemindeydi.
Eğer istismar edilirse, herhangi bir Postgres yöneticisinin süper kullanıcı ayrıcalıkları kazanmasına ve diğer müşterilerin veritabanlarına erişmesine izin verebilirlerdi.
Daha geçen ay, bulut güvenlik mağazası, bu aynı tür PostgreSQL kusurunun Google bulut hizmetlerini de etkilediğini söyledi. ®