Разделы

Техника

Брешь в облаке Oracle открыла хакерам магистральный путь к виртуальным дискам его пользователей

Уязвимость в Oracle Cloud Infrastructure позволяла производить чтение и запись на виртуальных дисках, принадлежавших другим пользователям. Проблему устранили, но подобные вещи происходят нередко.

Ой, а чей это диск?

Стало известно, что критическая уязвимость в облачной инфраструктуре Oracle (Oracle Cloud Infrastructure, OCI), выявленная в начале лета 2022 г., могла быть использована для получения доступа к чужим виртуальным дискам, сообщает издание Security Affairs. Сейчас этот баг устранен.

Уязвимость обнаружили эксперты компании Wiz в процессе работы над интеграцией своих систем с OCI.

«При попытке подключиться к виртуальному диску другого пользователя OCI мы с удивлением обнаружили, что операция проходит успешно! Мы получили доступ и на чтение, и на запись в другом аккаунте, который нам не принадлежит, — заявил Шир Тамари (Shir Tamari), глава отдела исследований Wiz. — Каждый виртуальный диск в облаке Oracle обладает уникальным идентификатором под названием OCID. Он не считается секретным; организации и не рассматривают его в качестве такового».

Выяснилось, что получив OCID виртуального диска потенциальной жертвы, не подключенный к активному серверу или не настроенный на общий доступ, злоумышленник может подсоединиться к диску и получить все права, чего не должно быть в принципе.

Как отмечено в публикации Wiz, залогом безопасности данных на виртуальном диске в облаке Oracle должна быть изоляция ресурсов индивидуальных пользователей.

Ошибка в Oracle Cloud Infrastructure открывала доступ к чужим виртуальным дискам

«Клиенты ожидают, что их данные останутся недоступными для других клиентов. Однако уязвимости в механизмах изоляции облаков ломают барьеры между ресурсами отдельных клиентов, — говорится в публикации Wiz. — Этим в очередной раз доказывается ключевая значимость проактивного исследования безопасности облачных сервисов, ответственного раскрытия данных и открытого отслеживания уязвимостей для безопасности облаков».

Эксплуатация требовала некоторых условий

Эксплуатация устраненной уязвимости была возможна только при условии, что атакующий клиент и жертва располагались в одном домене доступности (Availability Domain). Это ограничение, впрочем, не играет большой роли, поскольку для каждого региона количество зон доступности невелико, и их идентификаторы можно высчитать.

Елена Черникова, «РТК-Солар»: Госсектор стремится к защите от внутренних угроз
Безопасность

Исследователи также отметили, что недостаточная валидация пользовательских разрешений — довольно частая история среди облачных провайдеров, и что лучший способ выявлять такие проблемы — это регулярный аудит кода и сравнительное тестирование при разработке ключевых API.

Oracle получил информацию о проблеме 9 июня 2022 г. и исправил её в течение 24 часов.

«Без полной взаимной изоляции облачных хранилищ, принадлежащих разным пользователям, теряется самый смысл их использования, — говорит Алексей Водясов, технический директор компании SEQ. — Клиенты размещают в облаках данные, ожидая не только простого доступа откуда угодно, но и надежного хранения и конфиденциальности. Проблемы с нарушениями прав на доступ действительно встречается чаще, чем хотелось бы, но их, как правило, устраняют достаточно оперативно».

Роман Георгиев