Vulnerabilidad crítica en Oracle Cloud Infrastructure Permitió acceso no autorizado

Una nueva vulnerabilidad en Oracle Cloud Infrastructure (OCI) permitiría el acceso no autorizado a los volúmenes de almacenamiento en la nube de todos los usuarios, violando así el aislamiento de la nube.

La vulnerabilidad descubierta por expertos en la nube segura de Wiz en junio y denominada AttachMe, ahora se analiza en un nuevo aviso que la compañía publicó hoy.

La compañía dijo que dentro de las 24 horas posteriores a la notificación de Wiz, Oracle corrigió la vulnerabilidad para todos los clientes de OCI sin que se requiriera ninguna acción por parte del cliente.

Sin embargo, en el informe técnico, el ingeniero de software sénior de Wiz, Elad Gabay, dijo que antes de que se parcheara, todos los clientes de OCI podrían haber sido atacados por un atacante con conocimiento de la vulnerabilidad.

“Cualquier volumen de almacenamiento no conectado, o volúmenes de almacenamiento adjuntos que permitan la conexión múltiple, podrían haber sido leídos o escritos siempre que un atacante tuviera su Oracle Cloud Identifier (OCID), lo que permitía filtrar datos confidenciales o iniciar ataques más destructivos. por manipulación de archivos ejecutables”, explicó Gabay.

De acuerdo con el aviso de Wiz, los ataques potenciales resultantes de un actor de amenazas consciente de esta vulnerabilidad incluyeron la escalada de privilegios y el acceso entre inquilinos.

“Consideramos que ambas posibles rutas de ataque son bastante factibles dado que los OCID generalmente no se tratan como secretos. Se pueden encontrar numerosos OCID de volúmenes de bloque y volúmenes de arranque de varios entornos, incluidos los de las principales empresas, mediante una simple búsqueda en línea”.

Según el experto en seguridad de la nube, la vulnerabilidad muestra cuán crucial es el aislamiento de los inquilinos de la nube en cualquier infraestructura de esta.

“Los clientes esperan que otros clientes no puedan acceder a sus datos. Sin embargo, las vulnerabilidades de aislamiento de la nube rompen las barreras entre los inquilinos”, dijo Gabay. “Esto destaca la importancia crucial de la investigación proactiva de vulnerabilidades en la nube, la divulgación responsable y el seguimiento público de las vulnerabilidades en la nube para la seguridad en la nube”.

Más información sobre la vulnerabilidad parcheada de Oracle, incluida una demostración técnica, está disponible en la publicación técnica de Wiz.

La divulgación se produce días después de que un informe de Snyk revelara que casi el 80 % de las organizaciones sufrieron un incidente de seguridad en la nube “grave” en el transcurso de los últimos 12 meses.

Fuente: https://www.infosecurity-magazine.com/news/flaw-in-oracle-cloud-unauthorized/