Μια ευπάθεια στο Oracle Cloud Infrastructure (OCI) θα μπορούσε να έχει επιτρέψει ουσιαστικά σε κάθε χρήστη να διαβάζει και να γράφει δεδομένα που ανήκουν σε οποιονδήποτε άλλο πελάτη OCI, ισχυρίστηκαν οι ερευνητές.
Δείτε επίσης: Hive ransomware: Υπεύθυνο για την επίθεση στη New York Racing Association;
Εμπειρογνώμονες από την εταιρεία ασφάλειας cloud Wiz είπαν ότι βρήκαν την ευπάθεια κατά την κατασκευή μιας σύνδεσης OCI για το δικό τους tech stack, ανακαλύπτοντας ότι μπορούσαν να συνδέσουν virtual disks άλλων ανθρώπων στα virtual machine instances τους.
Ουσιαστικά, το ελάττωμα, όπως περιγράφεται από το Wiz, θα μπορούσε να αξιοποιηθεί ως εξής: αν γνωρίζατε το Oracle Cloud Identifier για τον όγκο αποθήκευσης άλλων πελατών – κάτι που δεν είναι μυστικό – θα μπορούσατε να επισυνάψετε αυτό το volume στη δική σας εικονική μηχανή στο cloud της Oracle καθώς το volume δεν ήταν ήδη συνδεδεμένος ή δεν υποστήριζε πολλαπλά συνημμένα. Λάβετε, λοιπόν, το αναγνωριστικό, επισυνάψτε ένα volume και αποκτήστε πρόσβαση σαν να ήταν δικός σας, συμπεριλαμβανομένων τυχόν ευαίσθητων πληροφοριών. Η υποδομή της Oracle δεν έλεγξε ότι είχατε άδεια να προσαρτήσετε το χώρο αποθήκευσης.
Mark Zuckerberg: Ο δεύτερος πλουσιότερος άνθρωπος
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Δείτε επίσης: Η εταιρεία Wintermute έχασε $162,2 εκατ. σε DeFi hack
Εκτέλεση κώδικα
Περιγράφοντας τα ευρήματα σε μια ανάρτηση, ο Elad Gabay της Wiz είπε ότι “το ελάττωμα θα μπορούσε να χρησιμοποιηθεί για τον χειρισμό οποιωνδήποτε δεδομένων στο volume, συμπεριλαμβανομένου του χρόνου εκτέλεσης του λειτουργικού συστήματος (με την τροποποίηση των binaries, για παράδειγμα), “κερδίζοντας” έτσι την εκτέλεση κώδικα πάνω από το remote compute instance και μια βάση στο περιβάλλον του cloud του θύματος, μόλις χρησιμοποιηθεί το volume για την εκκίνηση ενός μηχανήματος.”
Η Oracle κινήθηκε γρήγορα για να διορθώσει την ευπάθεια. Αφού έμαθε για το ελάττωμα, το διόρθωσε μέσα σε 24 ώρες, δήλωσε ο Gabay, χωρίς να χρειαστούν πρόσθετες ενέργειες από τους πελάτες.
Το The Register εντόπισε ένα thread στο Twitter από τον επικεφαλή της έρευνας της Wiz, Shir Tamari, στο οποίο εξηγήθηκε ότι το βασικό πρόβλημα έγκειται στην έλλειψη επαλήθευσης αδειών στο AttachVolume API.
Δείτε επίσης: 2K Games: Το hacked help desk στόχευε παίκτες με κακόβουλο λογισμικό
Αυτό που δεν γνωρίζουμε είναι αν κάποιος κατάφερε ή όχι να κάνει κατάχρηση του ελαττώματος ενώ ήταν ενεργό, και αν το έκανε, ήταν απλώς για να κλέψει δεδομένα ή να διανείμει κακόβουλο λογισμικό ή ακόμα και ransomware. Μέχρι στιγμής δεν υπάρχει καμία ένδειξη ότι κάτι τέτοιο συνέβη.
Πηγή πληροφοριών: techradar.com