Oracle Cloud допускает, что пользователи могут получить доступ к другим данным клиентов
вычисления techradar.com Новости

Oracle Cloud допускает, что пользователи могут получить доступ к другим данным клиентов

21 сентября 2022 г.

Уязвимость в Oracle Cloud Infrastructure (OCI) могла позволить практически любому пользователю читать и записывать данные, принадлежащие любому другому клиенту OCI, утверждают исследователи.

Эксперты из компании Wiz, занимающейся безопасностью облачных вычислений, заявили, что они споткнулись. после уязвимости при построении OCI-коннектора для своего собственного технического стека, обнаружив, что они могут подключать виртуальные диски других людей к своим экземплярам виртуальных машин. Единственное, что им нужно, это объем хранилища другого человека. Oracle Cloud Identifier и что том другого человека поддерживает множественное вложение (или еще не был подключен).

Если все это согласовано, потенциальный злоумышленник сможет получить доступ к любой конфиденциальной информации, найденной на томе, и, что еще хуже, он сможет переписать ее.

Выполнение кода

Описание результатов в сообщение в блоге, Элад Габай из Wiz сказал, что уязвимость  «может быть использована для манипулирования любыми данными на томе, включая среду выполнения операционной системы (например, путем изменения двоичных файлов), таким образом получая выполнение кода на удаленном вычислительном экземпляре и закрепиться в облачной среде жертвы, как только объем используется для загрузки машины."

Подробнее

> Oracle продвигает некоторые из своих самых популярных инструментов для работы с базами данных в AWS

> Oracle и Microsoft объявляют о начале совместной работы в облаке

> На данный момент это лучшее облачное хранилище ошибок. сильный>

Oracle оперативно принял меры по устранению уязвимости. Узнав об ошибке, она устранила ее в течение 24 часов, заявил Габай, и никаких дополнительных действий со стороны клиентов не потребовалось.

The Register обнаружил в Твиттере главу исследовательского отдела Wiz Шира Тамари, в котором объяснялось, что ключевая проблема заключается в отсутствии проверки разрешений в API AttachVolume.

Чего мы не знаем, так это того, удалось ли кому-нибудь злоупотребить уязвимостью, пока она была активной, и если да, то только для кражи данных, распространения вредоносного ПО или даже программы-вымогателя. Пока нет никаких доказательств того, что что-то подобное произошло. Мы связались с Oracle, представители которой сказали, что компания не будет комментировать ситуацию.

Через: Реестр

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE