写点什么

甲骨文出现可访问客户数据的云隔离漏洞,现已修复

  • 2022-09-21
    北京
  • 本文字数:914 字

    阅读完需:约 3 分钟

甲骨文出现可访问客户数据的云隔离漏洞,现已修复

当地时间 9 月 20 日,Wiz 安全研究人员称,甲骨文云基础设施 (OCI) 出现了一个云隔离漏洞,在修补之前,所有 OCI 客户都可能成为攻击者的目标。只要攻击者拥有其 Oracle Cloud Identifier (OCID),就可以读写任何未附加的存储卷或允许多重附加的附加存储卷,从而导致敏感数据被窃取或通过可执行文件操作发起更具破坏性的攻击。

 

幸运的是,Wiz 的 Elad Gabay 表示,在向甲骨文披露漏洞后,这家 IT 巨头“在 24 小时内”修补了安全漏洞,而且修复过程中不需要客户采取任何行动。

 

据悉,这个漏洞被称为 AttachMe,是报告过的最严重的云漏洞之一,因为它可能会影响所有 OCI 客户。根据 Wiz 的说法,利用 AttachMe 的详细要求是: 

 

  • 攻击者必须知道目标卷的 OCID——虽然 OCID 通常是私有的,但它们不被视为机密,因此这个要求很容易实现。

  • 攻击者的计算实例必须与目标卷在同一个可用域 (AD) 中——这个条件很容易满足,因为可用区的数量相对较少(某些区域最多三个),因此可以通过枚举法找出。

  • 目标卷必须是分离的或附加为可共享的——分离的卷相对常见,因为默认情况下与终止的计算实例关联的引导卷不会被删除。此外,备份数据卷通常不附加到正在运行的计算实例。


 

据悉,Wiz 工程师是在夏天为自己的技术堆栈构建 OCI 连接器时发现的这个漏洞。他们在这个过程中发现,他们可以将任何人的可用虚拟磁盘附加到自己的虚拟机实例上。Wiz 研究负责人 Shir Tamari 在一系列关于该漏洞的推文中指出,根本原因是 AttachVolume API 中缺乏权限验证。他指出,这也是 Wiz 研究人员第一次在云服务提供商的基础设施 (IaaS) 中发现此类跨租户漏洞。

 

今年早些时候,Wiz 研究人员还发现了一个类似的云隔离漏洞,该漏洞影响了 Azure 中的特定云服务。微软修复的这些缺陷存在于 Azure Database for PostgreSQL 灵活服务器的身份验证过程中,一旦被利用,任何 Postgres 管理员可以获得超级用户权限并访问其他客户的数据库。就在上个月,相同类型的 PostgreSQL 漏洞也影响了谷歌云服务。

 

参考链接:

https://www.wiz.io/blog/attachme-oracle-cloud-vulnerability-allows-unauthorized-cross-tenant-volume-access

https://www.theregister.com/2022/09/21/oracle_fixes_critical_cloud_vuln/

2022-09-21 15:424636

评论

发布
暂无评论
发现更多内容

Android悬浮窗的简单实现,音视频二次开发

android 程序员 移动开发

Android技能树 — 树基础知识小结(一),阿里P7大牛整理

android 程序员 移动开发

Android春招面经分享:一个Android渣渣终于拿到了一个offer

android 程序员 移动开发

Android毕业生,月薪都在10~15k左右,【Android面试题】

android 程序员 移动开发

Android性能优化:看完这篇文章,至少解决 APP 中 90 % 的内存异常问题

android 程序员 移动开发

Android最强进程保活黑科技实现原理解密及方法,我的头条面试经历分享

android 程序员 移动开发

王者荣耀商城异地多活架构设计

毛先生

Android研发大厂面试记:阿里,字节,安卓内存监控悬浮窗

android 程序员 移动开发

Android程序员经常遇到的算法问题,七大常用的算法,小白看完都会了

android 程序员 移动开发

Android性能优化三:APP启动时间测量,android开发强化实战

android 程序员 移动开发

Android技能树 — Fragment总体小结,kotlin安卓开发教程视频

android 程序员 移动开发

Android插件化-Activity篇,安卓开发面试问题

android 程序员 移动开发

Android数据库的使用(增删改查),那些年我们一起踩过算法与数据结构的坑

android 程序员 移动开发

Android架构设计:手把手教你撸一个简洁而强大的MVP框架!

android 程序员 移动开发

Android技术栈(一)从Activity迁移到Fragment,零基础也能看得懂

android 程序员 移动开发

Android开源的精美日历控件,热插拔设计的万能自定义UI(1)

android 程序员 移动开发

Android性能优化:这些绘制优化你一定不能忽略!,【微信小程序】

android 程序员 移动开发

Android春招面经:二本渣院面试网易被拒,最终终于拿到腾讯

android 程序员 移动开发

Android猿面试(附视频),flutter下拉选择

android 程序员 移动开发

Android生命周期组件Lifecycle使用详解,android音视频开发方向

android 程序员 移动开发

Android开发项目实战:实现折叠式布局,2021年是做Android开发人员的绝佳时机

android 程序员 移动开发

Android技能树 — 树基础知识小结(一)(1),Android入门

android 程序员 移动开发

Android知识图谱:我们到底需要学习哪些Android知识?,android开发平台的框架原理

android 程序员 移动开发

Android性能优化:这些绘制优化你一点要重视!,android开发语言kotlin

android 程序员 移动开发

Android快速开发整理(库、插件,40道安卓面试

android 程序员 移动开发

Android性能优化 _ 大图做帧动画卡?优化帧动画之 SurfaceView滑动窗口式帧复用

android 程序员 移动开发

Android混合编程:WebView实践,全世界都在问Android开发凉了吗

android 程序员 移动开发

Android开源的精美日历控件,热插拔设计的万能自定义UI

android 程序员 移动开发

Android指纹识别API讲解,一种更快更好的用户体验,送给正在迷茫的你

android 程序员 移动开发

Android架构组件—ViewModel原理,flutter瀑布流布局插件

android 程序员 移动开发

Android技能树 — Activity小结,idea开发android

android 程序员 移动开发

甲骨文出现可访问客户数据的云隔离漏洞,现已修复_语言 & 开发_褚杏娟_InfoQ精选文章