Tenable оголосив про розкриття вразливості віддаленого виконання коду (RCE) в редакторі коду Oracle Cloud Infrastructure (OCI), що викликає питання щодо ризиків, притаманних взаємопов'язаним хмарним службам.
Дослідники в Tenbable визначили недолік у редакторі коду OCI, інструменту, який використовує розробники, що працюють в екосистемі хмарної оболонки Oracle. Вразливість потенційно дозволила зловмисникам віддалено виконувати код у середовищі жертви без прямого доступу, просто обдуривши користувача натиснути на шкідливе посилання, ввійшовши в свій обліковий запис Oracle Cloud.
Пояснена вразливість RCE
Недостатня, яка тепер вирішена Oracle, була спричинена недостатньою перевіркою походження на функції завантаження файлу редактора коду. Це дозволило зловмисним веб -сайтам маніпулювати браузером користувача завантажувати шкідливі файли в свій обліковий запис Oracle Cloud Shell без їх відома. Коли згодом цільовий користувач відкрив свою хмарну оболонку, завантажений файл може автоматично виконувати зловмисні команди.
Tenbeable наголосив на можливих наслідках цієї вразливості, заявивши, що зловмисник може “мовчки викрасти середовище хмарної оболонки жертви, лише одним клацанням потерпілого та потенційно переходити через інші послуги OCI”. Можливість виконання довільних команд з цієї позиції могла б викрити конфіденційні облікові дані та забезпечити горизонтальний рух до інших служб, таких як менеджер ресурсів, функції або наука даних, збільшення обсягу для системних компромісів, крадіжки даних або стійких задніх.
“Концепція Jenga”
Вад RCE ілюструє більш широкі занепокоєння, підкреслених архітектурою постачальників хмарних послуг. Tenbeable відноситься до цього як концепцію Jenga, поняття, що охоплює складні ризики, коли постачальники будують нові послуги на основах існуючих.
“Подібно до гри в Дженгу, витяг один блок може поставити під загрозу цілісність усієї структури”, – сказав Лів Матан, старший дослідник безпеки в Tenable.
Матан продовжував “хмарні послуги, особливо з їх глибокими інтеграціями та спільними середовищами, функціонують аналогічно; якщо прихована інтеграція або спільне середовище вводить слабкість, ці ризики можуть каскадувати залежні послуги, значно збільшуючи потенціал для порушення безпеки. Наші дослідження OCI підкреслюють критичне значення ретельної уваги цих взаємопов'язаних систем”.
Потенційний вплив та наслідки
Якщо експлуатується, повідомляє, що вразливість могла б дозволити зловмисникам вжити таких дій:
- Мовчки переймайте середовище хмарної оболонки жертви
- Запустіть несанкціонований код на Cloud Services Oracle жертви
- Доступ до конфіденційних даних та секретів у середовищі OCI жертви
- Перенесіть на інші інтегровані послуги, такі як менеджер ресурсів або наука про дані для розгортання нових ресурсів або даних про екзфільтрат
Oracle випустив патч для вирішення цього питання, і в даний час користувачів не потрібно подальших заходів, повідомляє Tenable.
Рекомендації щодо безпеки
Незважаючи на те, що проблема виправляється, Tenbeable рекомендує організаціям вжити заходів для зменшення ризиків від подібних вразливих місць у майбутньому. Сюди входить реалізація моделі найменших привілеїв для обмеження непотрібних дозволів та обмеження обсягу потенційних компромісів, відображення залежності та інтеграції між хмарними службами для виявлення можливих поверхонь атаки, перегляд журналів на показники компромісів та послідовно моніторингу незвичайних моделей доступу або несанкціонованих змін файлів.
Матан прокоментував більш широкий урок для фахівців з хмарної безпеки, заявивши: “Ця вразливість RCE, виявлена в OCI, підкреслює, що хмарна безпека не лише реагує на загрози, а активно запобігає їм. Оскільки хмарні середовища стають більш хитромудрими, групи безпеки повинні залишатися попереду, визнаючи та виправляючи слабкі місця, перш ніж їх можна використовувати”.