Firma Wiz zajmująca się cyberbezpieczeństwem ujawniła we wtorek, że odkryła kolejną poważną lukę w zabezpieczeniach popularnego środowiska pamięci masowej w chmurze.
po wybraniu Wiele luk w zabezpieczeniach W przypadku intensywnie wykorzystywanych usług chmurowych Azure firmy Microsoft, badacze Wiz twierdzą, że niedawno odkryli „poważną lukę” w Oracle Cloud Infrastructure (OCI), która mogła umożliwić „nieautoryzowany dostęp do pamięci w chmurze dowolnego klienta”.
Luka została odkryta po raz pierwszy w czerwcu i została szybko naprawiona w ciągu 24 godzin przez Oracle, a luka ta była „jedną z najpoważniejszych zgłoszonych luk w zabezpieczeniach chmury, ponieważ może mieć wpływ na wszystkich klientów OCI” Wpis na blogu opublikowany we wtorek przez Wiz.
Według Wiz, błąd, który naukowcy nazwali „#AttachMe”, naruszył jedną z najważniejszych obietnic przechowywania w chmurze — że dane klientów są bezpieczne przed wścibskimi oczami.
„Izolacja najemców w chmurze jest istotnym elementem chmury” — czytamy w poście na blogu autorstwa Elada Gabaya, inżyniera oprogramowania w Wiz. Klienci oczekują, że inni klienci nie będą mogli uzyskać dostępu do ich danych. Jednak słabości w izolacji chmur burzą mury między najemcami”.
W swojej wiadomości Gabbay dodał: „Zanim zostało to poprawione, mogłeś dostać #AttachMe Umożliwiło to atakującym dostęp i modyfikację dowolnych wolumenów OCI innych użytkowników bez pozwolenia, naruszając w ten sposób izolację chmury”.
W swoim liście Gabbay powiedział, że urzędnicy Oracle „na szczęście” zareagowali z „niezwykłą szybkością”, kiedy Weiss ujawnił swoje odkrycia w czerwcu.
Jak na ironię, Wiz z siedzibą w Nowym Jorku odkrył główną lukę, ponieważ integrował swoją technologię bezpieczeństwa w chmurze z OCI, po tym, jak obie firmy weszła w spółkę dzięki temu Wiz był dostępny na Oracle Cloud Marketplace, powiedzieli urzędnicy firmy.
CRN US nie było w stanie skontaktować się z przedstawicielami Oracle w celu uzyskania komentarza.
W wywiadzie dla CRN US Sher Tamari, szef działu badań w Wiz, powiedział, że chmura ogólnie pozostaje taka sama „Bezpieczniejsza opcja dla firm, które chcą przechowywać dane w porównaniu do przechowywania w miejscu pracy.
Powiedział jednak, że badania przeprowadzone przez Wiz i innych wykazały, że chmura rzeczywiście ma swój udział w lukach.
Tarmari powiedział, że „problem izolacji chmury” zaczyna się pojawiać „u wielu dostawców chmury”.
„Izolacja chmury jest jedną z podstawowych obietnic chmury, ponieważ jeden klient nie będzie mógł uzyskać dostępu do danych innego klienta” – powiedział.
Jednak to jest dokładnie to, co Wiz udowodnił, że jest możliwe w obu przypadkach Microsoft Azure A teraz z OCI.
Na blogu we wtorek o #AttachMe, Gabay z Wiz pisze, że inżynierowie Wiz odkryli, że „podłączenie dysku do maszyny wirtualnej na innym koncie nie wymaga żadnych uprawnień”.
W poście dodano: „Oznacza to, że potencjalny atakujący może uzyskać dostęp i modyfikować dane z dowolnego klienta OCI, a w niektórych przypadkach nawet przejąć środowisko”.
Po wejściu na konto ofiary potencjalny haker może wykonać szereg złośliwych działań, w tym wyciek poufnych danych, eskalację uprawnień i manipulowanie kodem.
„Chcę być miłośnikiem telewizji. Certyfikowany entuzjasta popkultury. Stypendysta Twittera. Student amator.”
More Stories
Dlaczego jestem kreatorem postaci w grach wideo?
19 kwietnia 2024 — World of Warcraft — Wiadomości Blizzarda
Twórca Baldur’s Gate 3 potwierdza, że gra nie doczeka się kontynuacji