Kerentanan Oracle Cloud Infrastructure “kritis” dapat dieksploitasi oleh pelanggan mana pun untuk membaca dan menulis data milik pelanggan OCI lainnya tanpa pemeriksaan izin apa pun, menurut peneliti keamanan Wiz.
Untungnya, setelah mengungkapkan bug tersebut ke Oracle, raksasa IT itu menambal lubang keamanan “dalam waktu 24 jam,” menurut Elad Gabay dari Wiz. Kabar baiknya adalah perbaikan tersebut tidak memerlukan tindakan apa pun dari pihak pelanggan.
Pada dasarnya, kelemahan tersebut, seperti yang dijelaskan oleh Wiz, dapat dieksploitasi sebagai berikut: jika Anda mengetahui Oracle Cloud Identifier untuk volume penyimpanan pelanggan lain – yang bukan merupakan rahasia – Anda dapat melampirkan volume tersebut ke mesin virtual Anda sendiri di cloud Oracle selama karena volume belum terpasang atau mendukung multi-lampiran. Jadi, dapatkan pengidentifikasi, lampirkan volume, akses seolah-olah itu milik Anda, termasuk informasi sensitif apa pun di dalamnya. Infrastruktur Oracle tidak memeriksa apakah Anda memiliki izin untuk memasang penyimpanan.
Bug, dijuluki AttachMe oleh Wiz – pakaian keamanan cloud, natch – berfungsi sebagai kisah peringatan tentang kerentanan isolasi cloud dan bagaimana penyerang dapat mengeksploitasi kelemahan ini untuk “mendobrak tembok di antara penyewa,” Gabay menulis lebih awal hari ini.
Mari berharap tim Wiz menemukan kekurangannya sebelum penjahat melakukannya. Mengeksploitasi AttachMe dapat memungkinkan penyerang menambang penyimpanan untuk informasi berharga atau menggali lebih dalam ke lingkungan cloud korban dengan mengubah program untuk memasukkan backdoors dan malware, menurut peneliti keamanan.
Mendapatkan akses tulis, Gabay menjelaskan, “dapat digunakan untuk memanipulasi data apa pun pada volume, termasuk runtime sistem operasi (dengan memodifikasi binari, misalnya), sehingga mendapatkan eksekusi kode melalui instance komputasi jarak jauh dan pijakan di lingkungan cloud korban. , setelah volume digunakan untuk mem-boot mesin.”
Insinyur Wiz menemukan kekurangan tersebut selama musim panas saat membuat konektor OCI untuk tumpukan teknologi mereka sendiri. Selama proses ini, mereka menemukan bahwa mereka dapat melampirkan disk virtual siapa pun yang tersedia ke instans VM mereka sendiri. Kami diberi tahu bahwa cukup mudah untuk menemukan Oracle Cloud Identifier seseorang melalui pencarian web atau dengan menggunakan izin pengguna dengan hak istimewa rendah untuk membaca pengenal dari lingkungan korban.
Setelah mendapatkan pengidentifikasi volume korban, penjahat harus memutar instans komputasi di Domain Ketersediaan (AD) yang sama dengan volume target. Setelah terpasang, penyerang memperoleh hak baca dan tulis atas volume.
Tidak seorang pun di Oracle tersedia untuk berkomentar.
Kepala penelitian Wiz, Shir Tamari, dalam serangkaian tweet tentang kerentanan, mencatat akar penyebabnya adalah kurangnya verifikasi izin di API AttachVolume. Itu juga pertama kalinya peneliti Wiz, yang telah mencari-cari di berbagai cloud untuk jenis kerentanan lintas penyewa ini, menemukan satu di infrastruktur penyedia layanan cloud, dia dicatat.
Awal tahun ini, peneliti Wiz menemukan kerentanan isolasi cloud serupa yang berdampak pada layanan cloud tertentu di Azure. Cacat ini, yang diperbaiki oleh Microsoft, ada di Azure Database untuk proses autentikasi PostgreSQL Flexible Server.
Jika dieksploitasi, mereka dapat mengizinkan admin Postgres mana pun untuk mendapatkan hak superuser dan mengakses database pelanggan lain.
Baru bulan lalu, toko keamanan cloud mengatakan jenis cacat PostgreSQL yang sama ini juga terpengaruh layanan awan Google. ®