Peneliti Mengungkapkan Kerentanan Kritis di Oracle Cloud Infrastructure

  • Whatsapp
Oracle Cloud Infrastructure (OCI) vulnerability
Peneliti Mengungkapkan Kerentanan Kritis di Oracle Cloud Infrastructure

News.nextcloud.asia –

Kerentanan Oracle Cloud Infrastructure (OCI)

Para peneliti telah mengungkapkan kerentanan Oracle Cloud Infrastructure (OCI) baru yang parah yang dapat dimanfaatkan oleh pengguna untuk mengakses disk virtual pelanggan Oracle lainnya.

“Setiap disk virtual di cloud Oracle memiliki pengidentifikasi unik yang disebut OCID,” Shir Tamari, kepala penelitian di Wiz, dikatakan dalam serangkaian tweet. “Pengidentifikasi ini tidak dianggap rahasia, dan organisasi tidak memperlakukannya seperti itu.”

“Mengingat OCID dari disk korban yang saat ini tidak terpasang ke server aktif atau dikonfigurasi sebagai dapat dibagikan, penyerang bisa ‘melampirkan’ dan mendapatkan membaca/menulis di atasnya,” tambah Tamari.

Keamanan cyber

Perusahaan keamanan cloud, yang menjuluki kerentanan isolasi penyewa “Lampirkan Saya,” kata Oracle memperbaiki masalah dalam waktu 24 jam setelah pengungkapan yang bertanggung jawab pada tanggal 9 Juni 2022.

Infrastruktur Cloud Oracle
Mengakses volume menggunakan CLI tanpa izin yang memadai

Pada intinya, kerentanan berakar pada kenyataan bahwa disk dapat dilampirkan ke instance komputasi di akun lain melalui Oracle Cloud Identifier (OCID) tanpa otorisasi eksplisit apa pun.

Ini berarti bahwa penyerang yang memiliki OCID dapat memanfaatkan AttachMe untuk mengakses volume penyimpanan apa pun, yang mengakibatkan paparan data, eksfiltrasi, atau lebih buruk lagi, mengubah volume boot untuk mendapatkan eksekusi kode.

Selain mengetahui OCID volume target, prasyarat lain untuk melakukan serangan adalah instance musuh harus berada dalam Availability Domain (AD) yang sama dengan target.

Keamanan cyber

“Validasi izin pengguna yang tidak memadai adalah kelas bug umum di antara penyedia layanan cloud,” kata peneliti Wiz Elad Gabay. “Cara terbaik untuk mengidentifikasi masalah tersebut adalah dengan melakukan tinjauan kode yang ketat dan pengujian komprehensif untuk setiap API sensitif dalam tahap pengembangan.”

Temuan tersebut tiba hampir lima bulan setelah Microsoft mengatasi sepasang masalah dengan Azure Database untuk PostgreSQL Flexible Server yang dapat mengakibatkan akses database lintas-akun yang tidak sah di suatu wilayah.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.