Critical Vulnerability in Oracle Cloud Infrastructure Allowed Unauthorized Access
2022/09/20 InfoSecurity — Oracle Cloud Infrastructure (OCI) で発見された新たな脆弱性により、すべてのユーザーのクラウド・ストレージ・ボリュームへの不正アクセスが可能となり、その結果として、クラウドの分離が侵害されることになっている。この欠陥は、6月に Wiz のセキュア・クラウドの専門家が発見し、AttachMe と名付けられたものであり、今日の同社の最新アドバイザリで取り上げられている。
Wiz によると、Oracle は報告を受けてから 24時間以内に、すべての OCI 顧客に対してパッチを適用し、顧客としての対応は不要とのことだ。
しかし、Wiz の Senior Software Engineer である Elad Gabay は、技術的な記述の中で、パッチが適用される以前に、この脆弱性を知る攻撃者により、すべての OCI 顧客が狙われた可能性があると述べている。
Gabay は、「攻撃者が Oracle Cloud Identifier (OCID) を持っていれば、どのような非接続型ストレージ・ボリュームや、マルチ・アタッチメントが可能な接続型ストレージ・ボリュームであっても、読み書きが可能であり、機密データの流出や、実行ファイル操作による破壊的な攻撃が可能だった」とは説明している。
Wiz のアドバイザリによると、この欠陥を知った脅威者が引き起こす可能性のある攻撃には、特権昇格やクロステナント・アクセスが含まれるという。
彼は、「OCID が、一般的に秘密として扱われないことを考慮すると、この2つの潜在的な攻撃経路は非常に実現可能性が高いと考えられる。大手企業などの様々な環境に存在する、ブロック・ボリュームとブート・ボリュームの OCID は、オンライン検索で簡単に見つ出すことができる」と述べている。
クラウド・セキュリティの専門家によると、このバグは、あらゆるクラウド・インフラにおいて、クラウド・テナントの分離がいかに重要であるかを示しているという。
Gabay は、「顧客は、自分のデータが他の顧客からアクセスされないことを期待している。しかし、クラウド・アイソレーションの脆弱性は、テナント間の壁を壊してしまう。このことは、クラウドのセキュリティにとって、積極的なクラウドの脆弱性調査/責任ある情報開示/クラウドの脆弱性の公開追跡など、きわめて重要であることを浮き彫りにしている」と述べている。
技術的なデモンストレーションを含む、Oracle のパッチ適用された脆弱性に関する詳細情報は、Wiz の技術投稿に掲載されている。
今回の発表は、Snyk のレポートにより、これまでの 12カ月間に約 80%の組織が、深刻なクラウド・セキュリティ・インシデントに見舞われたことが明らかになった、数日後に行われている。
Oracle Cloud Infrastructure (OCI) とは、IaaS と PaaS で構成される、Oracle Cloud の総称のようです。そして、文中にもあるように、この欠陥を知った脅威者が引き起こす可能性のある攻撃には、特権昇格やクロステナント・アクセスが含まれるとのことです。Wiz のレポートは参照できましたが、Oracle 自身によるレポートは出てこないのでしょうか? そのあたりが、いちばん気になるところです。
IoT OT Security News 
You must be logged in to post a comment.