HarmonyOS开发者限时福利来啦!最高10w+现金激励等你拿~ 了解详情
写点什么

甲骨文出现可访问客户数据的云隔离漏洞,现已修复

  • 2022-09-21
    北京
  • 本文字数:914 字

    阅读完需:约 3 分钟

甲骨文出现可访问客户数据的云隔离漏洞,现已修复

当地时间 9 月 20 日,Wiz 安全研究人员称,甲骨文云基础设施 (OCI) 出现了一个云隔离漏洞,在修补之前,所有 OCI 客户都可能成为攻击者的目标。只要攻击者拥有其 Oracle Cloud Identifier (OCID),就可以读写任何未附加的存储卷或允许多重附加的附加存储卷,从而导致敏感数据被窃取或通过可执行文件操作发起更具破坏性的攻击。

 

幸运的是,Wiz 的 Elad Gabay 表示,在向甲骨文披露漏洞后,这家 IT 巨头“在 24 小时内”修补了安全漏洞,而且修复过程中不需要客户采取任何行动。

 

据悉,这个漏洞被称为 AttachMe,是报告过的最严重的云漏洞之一,因为它可能会影响所有 OCI 客户。根据 Wiz 的说法,利用 AttachMe 的详细要求是: 

 

  • 攻击者必须知道目标卷的 OCID——虽然 OCID 通常是私有的,但它们不被视为机密,因此这个要求很容易实现。

  • 攻击者的计算实例必须与目标卷在同一个可用域 (AD) 中——这个条件很容易满足,因为可用区的数量相对较少(某些区域最多三个),因此可以通过枚举法找出。

  • 目标卷必须是分离的或附加为可共享的——分离的卷相对常见,因为默认情况下与终止的计算实例关联的引导卷不会被删除。此外,备份数据卷通常不附加到正在运行的计算实例。


 

据悉,Wiz 工程师是在夏天为自己的技术堆栈构建 OCI 连接器时发现的这个漏洞。他们在这个过程中发现,他们可以将任何人的可用虚拟磁盘附加到自己的虚拟机实例上。Wiz 研究负责人 Shir Tamari 在一系列关于该漏洞的推文中指出,根本原因是 AttachVolume API 中缺乏权限验证。他指出,这也是 Wiz 研究人员第一次在云服务提供商的基础设施 (IaaS) 中发现此类跨租户漏洞。

 

今年早些时候,Wiz 研究人员还发现了一个类似的云隔离漏洞,该漏洞影响了 Azure 中的特定云服务。微软修复的这些缺陷存在于 Azure Database for PostgreSQL 灵活服务器的身份验证过程中,一旦被利用,任何 Postgres 管理员可以获得超级用户权限并访问其他客户的数据库。就在上个月,相同类型的 PostgreSQL 漏洞也影响了谷歌云服务。

 

参考链接:

https://www.wiz.io/blog/attachme-oracle-cloud-vulnerability-allows-unauthorized-cross-tenant-volume-access

https://www.theregister.com/2022/09/21/oracle_fixes_critical_cloud_vuln/

2022-09-21 15:424113

评论

发布
暂无评论
发现更多内容

2021健康快乐

escray

2021

《从C ++开始》第9版(1200页)

计算机与AI

c++

我从 HX 辞职了

看山

辞职 闲聊

工具之书:坚韧

lidaobing

文学少女 28天写作

零基础工程师绘图指南,半小时水平越级提升!

穿甲兵

架构 设计 软件工程 分层架构

Caddy服务器使用方法

Rayan

运维 https 服务器 SSL证书

ClickHouse数据导入

一粒

kafka Logstash Clickhouse

ClickHouse常见集群部署架构

一粒

nosql 架构 Clickhouse

前端组件化基础知识

三钻

大前端 组件化

LeetCode题解:347. 前 K 个高频元素,二叉堆,JavaScript,详细注释

Lee Chen

算法 大前端 LeetCode

第十一周作业

Jack

架构师 3 期 3 班 -week6- 作业

zbest

作业 week6

深入浅出Android!2021京东最新Android面试真题解析,震撼来袭免费下载!

欢喜学安卓

android 程序员 面试 移动开发

真香系列!大牛耗时一年最佳总结,让你的app体验更丝滑!建议收藏

欢喜学安卓

android 程序员 面试 移动开发

架构师 3 期 3 班 -week6- 总结

zbest

总结 week6

高德地图、百度地图 都不如“人的智慧”

小匚

Python 深度思考 产品 日常思考

DeFi中的关键——智能合约 | 白话区块链入门220

CECBC

区块链

牛笔了!难道Android真的凉了?Android面试题及解析

欢喜学安卓

android 程序员 面试 移动开发

架构师训练营知识点整理

garlic

架构师训练营第 1 期

Hadoop 编程实战:HDFS API 编程样例

罗小龙

Java hadoop hdfs 编程

SSH 免密码/免用户名/免IP登录云服务器实践

穿甲兵

SSH 服务器

2020中国低代码平台市场发展年度报告(深度分析)

J2PaaS低代码平台

软件 低代码 开发工具 SaaS/IaaS/PaaS 软件开发、

极客大学架构师训练营 - 架构师技术图谱 - 大作业二

好吃不贵

架构师训练营第 1 期

关于食堂就餐卡系统设计

Geek_mewu4t

系统设计 食堂就餐卡

AEM公链APP系统开发|AEM公链软件开发

系统开发

wildfly 21的配置文件和资源管理

程序那些事

程序那些事 web服务器 应用配置 服务器部署

Vmware+Ubuntu 配置静态IP

千泷

(无聊预警)来啊一起冲浪啊 - 网络协议01

Max Zhang - 张亦弛

网络协议 基础知识 OSI七层协议

区块链与物联网融合理论架构

CECBC

区块链

区块链2020年终盘点

CECBC

区块链

一周信创舆情观察(12.21~12.27)

统小信uos

甲骨文出现可访问客户数据的云隔离漏洞,现已修复_语言 & 开发_褚杏娟_InfoQ精选文章