Af Eskil Sørensen, 21/09/22
En ny sårbarhed i Oracle Cloud Infrastructure (OCI) har muliggjort uautoriseret adgang til cloud storage-volumener for alle brugere. Det skriver Infosecurity Magazine på baggrund af en advisory, der er udkommet i denne uge.
Fejlen, der har fået navnet AttachMe, blev opdaget af sikkerhedsfirmaet Wiz’ cloud-sikkerhedseksperter i juni.
Det fremgår, at Wiz orienterede Oracle om sårbarheden der i juni, , og at Oracle inden for 24 timer rettede fejlen for alle OCI-kunder, uden at der krævedes nogen handling fra kunden. Imidlertid kunne alle OCI-kunder – ifølge advisorien – før rettelsen i princippet været blevet angrebet af en angriber med viden om sårbarheden.
De potentielle angreb kunne medføre eskalering af privilegier og adgang på tværs af lejere, dvs. brugere af den infrastruktur, de lejer sin ind på i cloud’en.
Flere oplysninger om den rettede Oracle-sårbarhed, inklusive en teknisk gennemgang, er tilgængelig i Wiz' blog.
Links:
https://www.infosecurity-magazine.com/news/flaw-in-oracle-cloud-unauthorized/