Oracle云基础设施(OCI)中的一个新漏洞将允许未经授权访问所有用户的云存储卷,从而违反云隔离。
该漏洞由Wiz的安全云专家于6月发现并被称为AttachMe,该漏洞现在正在该公司今天发布的一份新咨询中进行讨论。
该公司表示,在收到Wiz通知的24小时内,Oracle为所有OCI客户修补了该漏洞,而无需客户采取任何行动。
然而,在技术报告中,Wiz高级软件工程师Elad Gabay表示:“在修补之前,所有 OCI 客户都可能成为了解该漏洞的攻击者的目标。”
Gabay解释说:“只要攻击者拥有其Oracle云标识符(OCID),就可以读取或写入任何未附加的存储卷或允许多重附加的附加存储卷,从而允许泄露敏感数据或发起更具破坏性的攻击通过可执行文件操作。”
根据Wiz公告,由意识到此缺陷的威胁行为者导致的潜在攻击包括权限提升和跨租户访问。
他说:“鉴于OCID通常不被视为机密,我们认为这两种潜在的攻击路径都非常可行。可以通过简单的在线搜索找到各种环境(包括大公司的)的大量块卷和引导卷的OCID。”
根据云安全专家的说法,该漏洞显示了云租户隔离在任何云基础设施中的重要性。
Gabay说:“客户希望其他客户无法访问他们的数据。然而,云隔离漏洞打破了租户之间的墙,这凸显了主动云漏洞研究、负责任的披露和公开跟踪云漏洞对云安全的至关重要性。”
Wiz的技术报告中提供了有关已修补的 Oracle 漏洞的更多信息,包括技术演示。
该披露是在Snyk的一份报告显示近80%的组织在过去12个月中遭受严重云安全事件之后几天发布的。