AttachMe: Lỗ hổng trong Oracle Cloud Infrastructure cho phép truy cập trái phép

[t04ndv]

Vào tháng 6, các kỹ sư của Wiz đã phát hiện và báo cáo #AttachMe, một lỗ hổng trong Cơ sở hạ tầng đám mây Oracle (OCI), khiến Oracle phải vá lỗ hổng này chỉ trong vài giờ. Trước khi được vá, lỗ hổng này có thể đã cho phép kẻ tấn công truy cập và sửa đổi bất kỳ nội dung lưu trữ OCI nào của người dùng.

Các kỹ sư Wiz phát hiện việc gắn ổ đĩa vào máy ảo trong một tài khoản khác không yêu cầu bất kỳ quyền nào. Điều này có nghĩa là kẻ tấn công có thể đã truy cập và sửa đổi dữ liệu từ bất kỳ khách hàng OCI và thậm chí có thể chiếm được môi trường trong một số trường hợp.

Luồng tấn công khá đơn giản:

1. Tìm kiếm ID (OCID) của nạn nhân​
2. Bắt đầu một phiên bản máy tính (compute instance) mà nạn nhân thuê do kẻ tấn công kiểm soát nằm trong miền sẵn có (AD) như ổ đĩa​
3. Đính kèm volume của nạn nhân vào phiên bản máy tính của kẻ tấn công, do đó có quyền đọc, ghi đối với volume đó​

Từ đó, kẻ tấn công thực hiện nhiều hành động:

• Lọc dữ liệu nhạy cảm được lưu trên ổ đĩa​
• Tìm kiếm tập tin bí mật dạng cleartext để xâm nhập vào các máy ngang hàng trong môi trường của nạn nhân và/hoặc leo thang đặc quyền
• Tác động đến các tệp nhị phân để thực thi mã

Xác nhận không đầy đủ quyền người dùng là một loại lỗi phổ biến của các nhà cung cấp dịch vụ đám mây. Cách tốt nhất để xác định các vấn đề là thực hiện đánh giá mã nghiêm ngặt và kiểm tra toàn diện cho từng API nhạy cảm trong giai đoạn phát triển.

Theo infosecurity​