Luka w Oracle Cloud Infrastructure (OCI) mogła pozwolić w zasadzie każdemu użytkownikowi na czytanie i zapisywanie danych należących do innego klienta OCI, twierdzą eksperci.
Eksperci z firmy Wiz, zajmującej się bezpieczeństwem w chmurze, powiedzieli, że natknęli się na tę lukę podczas budowania złącza OCI dla własnego stosu technologicznego, odkrywając, że mogą dołączyć wirtualne dyski innych osób do swoich instancji maszyn wirtualnych. Jedyne, czego by potrzebowali, to identyfikator woluminu Oracle Cloud Identifier oraz to, że wolumin innej osoby obsługuje multi-attachment (lub nie był już dołączony). Dzięki tym wszystkim cechom potencjalny sprawca zagrożenia byłby w stanie uzyskać dostęp do wszelkich wrażliwych informacji znajdujących się na wolumenie — a co gorsza, mógłby również dokonać zapisu na nim.
Opisując odkrycia we wpisie na blogu, Elad Gabay z Wiz powiedział, że dziura “może być wykorzystana do manipulowania dowolnymi danymi na wolumenie, w tym jakością działania systemu operacyjnego (poprzez modyfikację plików, na przykład), zyskując w ten sposób możliwość wykonania kodu na zdalnej instancji obliczeniowej w środowisku chmury ofiary, gdy wolumen zostanie użyty do uruchomienia maszyny.”
Po tym, jak Oracle dowiedziało się o luce, naprawiło ją w ciągu 24 godzin, stwierdził Gabay, bez konieczności podejmowania dodatkowych działań ze strony klientów.
The Register zauważył na Twitterze wątek szefa działu badań Wiz, Shira Tamari, w którym wyjaśniono, że kluczowy problem leży w braku weryfikacji uprawnień w API AttachVolume.
Nie wiemy jednak, czy ktoś zdołał wykorzystać tę lukę, gdy była ona aktywna, a jeśli tak, to czy tylko do kradzieży danych, czy też do dystrybucji złośliwego oprogramowania, a nawet ransomware. Jak na razie nie ma żadnych dowodów na to, że coś takiego miało miejsce. Oracle postanowiło nie komentować tego zdarzenia.
