写点什么

甲骨文出现可访问客户数据的云隔离漏洞,现已修复

  • 2022-09-21
    北京
  • 本文字数:914 字

    阅读完需:约 3 分钟

甲骨文出现可访问客户数据的云隔离漏洞,现已修复

当地时间 9 月 20 日,Wiz 安全研究人员称,甲骨文云基础设施 (OCI) 出现了一个云隔离漏洞,在修补之前,所有 OCI 客户都可能成为攻击者的目标。只要攻击者拥有其 Oracle Cloud Identifier (OCID),就可以读写任何未附加的存储卷或允许多重附加的附加存储卷,从而导致敏感数据被窃取或通过可执行文件操作发起更具破坏性的攻击。

 

幸运的是,Wiz 的 Elad Gabay 表示,在向甲骨文披露漏洞后,这家 IT 巨头“在 24 小时内”修补了安全漏洞,而且修复过程中不需要客户采取任何行动。

 

据悉,这个漏洞被称为 AttachMe,是报告过的最严重的云漏洞之一,因为它可能会影响所有 OCI 客户。根据 Wiz 的说法,利用 AttachMe 的详细要求是: 

 

  • 攻击者必须知道目标卷的 OCID——虽然 OCID 通常是私有的,但它们不被视为机密,因此这个要求很容易实现。

  • 攻击者的计算实例必须与目标卷在同一个可用域 (AD) 中——这个条件很容易满足,因为可用区的数量相对较少(某些区域最多三个),因此可以通过枚举法找出。

  • 目标卷必须是分离的或附加为可共享的——分离的卷相对常见,因为默认情况下与终止的计算实例关联的引导卷不会被删除。此外,备份数据卷通常不附加到正在运行的计算实例。


 

据悉,Wiz 工程师是在夏天为自己的技术堆栈构建 OCI 连接器时发现的这个漏洞。他们在这个过程中发现,他们可以将任何人的可用虚拟磁盘附加到自己的虚拟机实例上。Wiz 研究负责人 Shir Tamari 在一系列关于该漏洞的推文中指出,根本原因是 AttachVolume API 中缺乏权限验证。他指出,这也是 Wiz 研究人员第一次在云服务提供商的基础设施 (IaaS) 中发现此类跨租户漏洞。

 

今年早些时候,Wiz 研究人员还发现了一个类似的云隔离漏洞,该漏洞影响了 Azure 中的特定云服务。微软修复的这些缺陷存在于 Azure Database for PostgreSQL 灵活服务器的身份验证过程中,一旦被利用,任何 Postgres 管理员可以获得超级用户权限并访问其他客户的数据库。就在上个月,相同类型的 PostgreSQL 漏洞也影响了谷歌云服务。

 

参考链接:

https://www.wiz.io/blog/attachme-oracle-cloud-vulnerability-allows-unauthorized-cross-tenant-volume-access

https://www.theregister.com/2022/09/21/oracle_fixes_critical_cloud_vuln/

2022-09-21 15:424662

评论

发布
暂无评论
发现更多内容

ChatGPT4 给出数据库开发者最容易犯的10个错误和解决方案

NineData

数据库 程序员 开发者 dba ChatGPT

用138个案例讲明白了Spring全家桶+Docker+MQ

Java你猿哥

spring 面试 Spring Cloud Spring Boot 面经

文本数据标注,支持词典导入及更多快捷方式|ModelWhale 版本更新

ModelWhale

机器学习 数据分析 云平台 标注 标注工具

选择KV数据库最重要的是什么

华为云开发者联盟

数据库 后端 华为云 华为云开发者联盟 企业号 3 月 PK 榜

流量调度、微服务可寻址性和注册中心

有态度的马甲

photoshop 2023存储为窗口显示空白、黑屏如何解决

互联网搬砖工作者

用这三本书,探究 ChatGPT 的底层逻辑

图灵社区

深度学习 GPT #人工智能 ChatGPT

快速开始高性能Elasticsearch客户端bboss

大河

elasticsearch java bboss restclient

分享:如何给 DBA 减负?

OceanBase 数据库

数据库 oceanbase

HUAWEI Mate X3带来全新小艺输入法, 9键双键盘左右开工、语音悬浮气泡免干扰

最新动态

4.0 功能抢先看 | 读懂一个项目的研发效能 之 项目交付效率

思码逸研发效能

研发效能

集成化、小型化、大势所趋,模块电源优势明显

华秋电子

测试同学职场成长的关键要素

老张

团队管理 个人成长

喜讯!华秋电子荣登“2022年中国产业互联网百强企业”榜单

华秋电子

从DPU角度,谈谈关于国产OS开源社区发展的思考

大禹智芯

DPU 国产OS开源社区

分享:FactorJoin,一种新的连接查询基数估计框架

OceanBase 数据库

数据库 oceanbase

数据采集&流批一体化处理使用指南

大河

批处理 ETL 流处理 bboss 流批一体化

AutoCAD安装失败,提示错误“Error 112”和安装进度条倒退为0

互联网搬砖工作者

信息抓包工具:Charles 激活版

真大的脸盆

Mac Mac 软件 抓包工具 信息抓包

Apache HugeGraph1.0.0 版本正式发布!

百度安全

Springboot 撞上 NebulaGraph——NGbatis 初体验

NebulaGraph

Java ORM 图数据库

软件测试/测试开发丨app自动化测试之设备交互API详解

测试人

软件测试 自动化测试 测试开发 appium

Web前端设计开发工具集(JS框架、CSS预处理)

2D3D前端可视化开发

前端开发 代码编辑器 css预处理器 web前端开发 前端开发工具

爱因斯坦霉霉同框只需15秒,最新可控AI一玩停不下来,在线试玩已出丨开源

Openlab_cosmoplat

开源社区 AI绘画

Dragonfly 最新版本 v2.0.9 发布

SOFAStack

开源 互联网 开发者 开发

用这三本书,探究 ChatGPT 的底层逻辑

图灵教育

深度学习 GPT #人工智能 ChatGPT

直播指南!解锁 OceanBase DevCon • 2023

OceanBase 数据库

数据库 oceanbase

动手实践开发一个智慧路灯控制器

华为云开发者联盟

后端 物联网 华为云 华为云开发者联盟 企业号 3 月 PK 榜

2023年,LED显示屏配套设备急需升级和优化

Dylan

产品 制造 LED显示屏

甲骨文出现可访问客户数据的云隔离漏洞,现已修复_语言 & 开发_褚杏娟_InfoQ精选文章