Une vulnérabilité dans Oracle Cloud Infrastructure (OCI) aurait pu permettre à n’importe quel utilisateur de lire et d’écrire des données appartenant à n’importe quel autre client OCI, ont affirmé des chercheurs.
Les experts de la société de sécurité cloud Wiz ont déclaré être tombés sur la vulnérabilité lors de la création d’un connecteur OCI pour leur propre pile technologique, découvrant qu’ils pouvaient attacher les disques virtuels d’autres personnes à leurs instances de machine virtuelle. La seule chose dont ils auraient besoin, c’est de l’espace de stockage d’une autre personne (s’ouvre dans un nouvel onglet) volume Oracle Cloud Identifier et que le volume de l’autre personne prend en charge les attachements multiples (ou n’était pas déjà attaché).
Avec toutes ces choses alignées, un acteur potentiel de la menace pourrait accéder à toutes les informations sensibles trouvées sur le volume – et pour aggraver les choses, il pourrait également écrire dessus.
Exécution de code
Décrire les résultats dans un article de blog (s’ouvre dans un nouvel onglet)Elad Gabay de Wiz a déclaré que la faille « pourrait être utilisée pour manipuler n’importe quelle donnée sur le volume, y compris le temps d’exécution du système d’exploitation (en modifiant les binaires, par exemple), obtenant ainsi l’exécution de code sur l’instance de calcul distante et un pied dans le cloud de la victime (s’ouvre dans un nouvel onglet) environnement, une fois que le volume est utilisé pour démarrer une machine. »
Oracle a agi rapidement pour remédier à la vulnérabilité. Après avoir pris connaissance de la faille, il l’a corrigée dans les 24 heures, a ajouté Gabay, sans qu’aucune action supplémentaire ne soit nécessaire de la part des clients.
Le registre a repéré un fil Twitter par le responsable de la recherche de Wiz, Shir Tamari, dans lequel il était expliqué que le problème clé résidait dans le manque de vérification des autorisations dans l’API AttachVolume.
Ce que nous ne savons pas, c’est si quelqu’un a réussi ou non à abuser de la faille alors qu’elle était active, et s’il l’a fait, était-ce simplement pour voler des données, ou pour distribuer des logiciels malveillants, voire des rançongiciels. Jusqu’à présent, rien ne prouve qu’une telle chose se soit produite. Nous avons contacté Oracle, dont les représentants ont déclaré que la société ne ferait aucun commentaire.
Via : Le Registre (s’ouvre dans un nouvel onglet)