Недоработка Oracle может привести к раскрытию конфиденциальных данных компаний

Исследователи из ИБ-компании WIZ обнаружили новую уязвимость Oracle Cloud Infrastructure (OCI), которая позволяет получить доступ к виртуальным дискам других клиентов Oracle.

Каждый виртуальный диск в облаке Oracle имеет уникальный идентификатор OCID. Используя OCID диска жертвы, который не подключен к активному серверу или не настроен как общий, злоумышленник мог подключиться к нему и получить доступ для чтения и записи. WIZ назвала уязвимость изоляции арендатора « AttachMe » и заявила, что Oracle исправила проблему в течение 24 часов после раскрытия 9 июня 2022 года. Однако, информация некоторых пользователей может быть скомпрометирована на данный момент.

Уязвимость была связана с тем, что диск может быть подключен к вычислительному экземпляру в другой учетной записи через Oracle Cloud Identifier (OCID) без какой-либо авторизации. То есть злоумышленник, владеющий OCID , мог воспользоваться AttachMe для доступа к любому тому хранилища, что приводило к раскрытию данных, эксфильтрации или к изменению загрузочных томов для выполнения кода.

Помимо знания OCID, еще одним условием для проведения атаки являлось то, что экземпляр злоумышленника должен был находиться в том же домене доступности (Availability Domain, AD), что и цель.

Недостаточная проверка разрешений пользователей является распространенной ошибкой среди поставщиков облачных услуг. Лучший способ выявить такие проблемы — провести тщательную проверку кода и тесты для каждого конфиденциального API на этапе разработки.