• 2022-09-21 17:00:00
  • 阅读(9817)
  • 评论(44)
  • Oracle云底子设施(OCI)中的一个新漏洞将同意未经授权接见全部用户的云存储卷,从而违反云断绝。

    该漏洞由Wiz的安全云专家于6月发明并被称为AttachMe,该漏洞目前正在该公司本日公布的一份新咨询中举行接头。

    该公司透露表现,在收到Wiz关照的24小时内,Oracle为全部OCI客户修补了该漏洞,而无需客户采取任何举措。

    然而,在技能呈报中,Wiz高级软件工程师Elad Gabay透露表现:“在修补之前,全部 OCI 客户都大概成相识该漏洞的攻击者的方针。”

    Gabay表明说:“只需攻击者拥有其Oracle云标识符(OCID),便能够读取或写入任何未附加的存储卷或允很多重附加的附加存储卷,从而同意泄露敏感数据或发动更具破坏性的攻击经过可实行文件操纵。”

    凭据Wiz通告,由认识到此缺陷的威胁举动者致使的潜在攻击包括权限提拔和跨租户接见。

    他说:“鉴于OCID平常不被视为机密,我们认为这两种潜在的攻击路径都异常可行。能够经过简单的在线搜索找到各种情况(包括至公司的)的大量块卷和引导卷的OCID。”

    凭据云安全专家的说法,该漏洞显示了云租户断绝在任何云底子设施中的重要性。

    Gabay说:“客户希望其他客户没法接见他们的数据。然而,云断绝漏洞打破了租户之间的墙,这凸显了主动云漏洞研究、负责任的披露和公开跟踪云漏洞对云安全的相当重要性。”

    Wiz的技能呈报中提供了有关已修补的 Oracle 漏洞的更多信息,包括技能演示。

    该披露是在Snyk的一份呈报显示近80%的构造在过去12个月中蒙受严重云安全变乱之后几天公布的。

    公布于:北京市
    47  收藏