Firma Wiz, zajmująca się cyberbezpieczeństwem ujawniła, że odkryła kolejną poważną lukę w popularnym środowisku chmurowym OCI.
Wiz ma ostatnio wysoką skuteczność w identyfikowaniu luk w zabezpieczeniach w intensywnie wykorzystywanych usługach chmurowych. Niedawno badacze Wiz znaleźli luki w Microsoft Azure, a teraz znaleźli podatność, określaną mianem krytycznej, w Oracle Cloud Infrastructure (OCI). Podatność ta mogła umożliwić „nieautoryzowany dostęp do wolumenów pamięci w chmurze dowolnego klienta”.
Błąd został odkryty jeszcze w czerwcu i, jak podają obie strony, naprawiony w ciągu jednej doby przez Oracle. Niemniej, jak podaje Wiz, była to „jedna z najpoważniejszych zgłoszonych luk w zabezpieczeniach chmury, która mogła mieć wpływ na wszystkich klientów OCI”. Podatność została nazwana przez badaczy jako „#AttachMe”.
„Izolacja klientów cloud jest kluczowym elementem w chmurze” — mówi wpis na blogu napisany przez Elada Gabaya, inżyniera oprogramowania w Wiz – „Klienci oczekują, że ich dane nie będą dostępne dla innych klientów. Jednak luki w izolacji chmury przełamują mury między najemcami (…) Zanim został załatany, #AttachMe mógł umożliwić atakującym dostęp i modyfikowanie woluminów pamięci OCI innych użytkowników bez autoryzacji, naruszając w ten sposób izolację w chmurze”.
Okazuje się, że Oracle miało wiele szczęścia. Potencjalne straty, tak wizerunkowe, jak i w odszkodowaniach, mogłyby być naprawdę wielkie. Szczęśliwe dla Oracle było też to, że Wiz akurat integrowało swoją technologię bezpieczeństwa w chmurze z OCI, po tym, jak obie firmy nawiązały współpracę. To natomiast umożliwiło wychwycenie obecności luki w systemie Oracle. #AttachMe sprawiało m.in., że, jak podaje Wiz, „podłączenie dysku do maszyny wirtualnej na innym koncie nie wymaga żadnych uprawnień”. „Oznacza to, że potencjalny atakujący mógł uzyskać dostęp i zmodyfikować dane od dowolnego klienta OCI, a w niektórych przypadkach nawet przejąć środowisko” – uzupełnia firma w swoim poście na blogu.