• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Недоработка Oracle может привести к раскрытию конфиденциальных данных компаний

Пригоршня

Штурман
Журналист
Регистрация
26.10.16
Сообщения
2,238
Онлайн
36д 16ч 12м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Исследователи из ИБ-компании WIZ обнаружили новую уязвимость Oracle Cloud Infrastructure (OCI), которая позволяет получить доступ к виртуальным дискам других клиентов Oracle.

Каждый виртуальный диск в облаке Oracle имеет уникальный идентификатор OCID. Используя OCID диска жертвы, который не подключен к активному серверу или не настроен как общий, злоумышленник мог подключиться к нему и получить доступ для чтения и записи. WIZ назвала уязвимость изоляции арендатора «AttachMe» и заявила, что Oracle исправила проблему в течение 24 часов после раскрытия 9 июня 2022 года. Однако, информация некоторых пользователей может быть скомпрометирована на данный момент.

Уязвимость была связана с тем, что диск может быть подключен к вычислительному экземпляру в другой учетной записи через Oracle Cloud Identifier (OCID) без какой-либо авторизации. То есть злоумышленник, владеющий OCID , мог воспользоваться AttachMe для доступа к любому тому хранилища, что приводило к раскрытию данных, эксфильтрации или к изменению загрузочных томов для выполнения кода.

Помимо знания OCID, еще одним условием для проведения атаки являлось то, что экземпляр злоумышленника должен был находиться в том же домене доступности (Availability Domain, AD), что и цель.

Недостаточная проверка разрешений пользователей является распространенной ошибкой среди поставщиков облачных услуг. Лучший способ выявить такие проблемы — провести тщательную проверку кода и тесты для каждого конфиденциального API на этапе разработки.
 
Сверху