Uma nova vulnerabilidade no Oracle Cloud Infrastructure (OCI) poderia dar acesso não autorizado a dados armazenados em nuvem de todos os usuários, violando o isolamento da nuvem. A falha, descoberta em junho por especialistas em nuvem segura da Wiz, apelidada de AttachMe, agora está sendo discutida em um novo comunicado que a Oracle publicou na terça-feira, 20. A empresa disse que 24 horas após ser informada pela Wiz corrigiu a falha sem nenhuma ação necessária por parte dos clientes da OCI.
No entanto, na redação técnica, o engenheiro de software sênior da Wiz, Elad Gabay, disse que, antes de ser corrigido, todos os clientes da OCI poderiam ter sido alvo de um invasor com conhecimento da vulnerabilidade. “Qualquer volume de armazenamento não anexado, ou volumes de armazenamento anexados que permitam multianexação, podem ter sido lidos ou gravados desde que um invasor tenha o Oracle Cloud Identifier (OCID), permitindo que dados confidenciais sejam exfiltrados ou ataques mais destrutivos sejam iniciados por manipulação de arquivos executáveis”, explicou Gabay à Infosecurity.
De acordo com o aviso da Wiz, os ataques em potencial resultantes dessa falha incluíam escalação de privilégios e acesso cross–tenant. “Consideramos os dois possíveis caminhos de ataque bastante viáveis, uma vez que os OCIDs geralmente não são tratados como segredos. Numerosos OCIDs de volumes de blocos e volumes de inicialização de vários ambientes, incluindo os de grandes empresas, podem ser encontrados por meio de uma simples pesquisa online.”
Veja isso
Oracle Cloud fica inacessível após problema com seu DNS
Patch extraordinário da Oracle corrige falha grave do WebLogic
Segundo o especialista em segurança na nuvem, o bug mostra o quão crucial é o isolamento do cross–tenant em qualquer infraestrutura de nuvem. “Os clientes esperam que seus dados não sejam acessáveis por outros clientes. No entanto, as vulnerabilidades de isolamento da nuvem quebram as paredes entre os ‘inquilinos’”, disse Gabay. “Isso destaca a importância crucial da pesquisa proativa de vulnerabilidades na nuvem, divulgação responsável e rastreamento público de vulnerabilidades na nuvem para a segurança na nuvem.”
A divulgação ocorre dias depois que um relatório da Snyk revelou que quase 80% das organizações sofreram um incidente de segurança na nuvem “grave” ao longo dos últimos 12 meses.
