جاكرتا - تواجه شركة الأمن السيبراني Tenable نقاط ضعف خطيرة في البنية التحتية السحابية لشركة Oracle (OCI) ، والتي يمكن للمهاجمين استخدامها لتشغيل الرموز الضارة على الخوادم عن بعد.
تم العثور على هذا الفجوة الأمنية في Code Editor ، وهي واحدة من الميزات في Cloud Shell Oracle التي يستخدمها المطورون عادة لإدارة خدمات Cloud Oracle.
وفقا ل Tenable ، من خلال الاستفادة من هذه الثغرة ، يمكن للمهاجمين الاستيلاء على بيئة عمل المستخدم في السحابة ، وتشغيل أوامرهم الفوضوية ، وسرقة البيانات الحساسة ، وحتى الوصول إلى الخدمات الأساسية الأخرى مثل مدير الموارد والوظائف وعلوم البيانات.
والأسوأ من ذلك، أن هذه الفجوة يمكن أن تؤدي إلى تهريب أوسع للنظام.
لذلك ، بمجرد أن يفتح المستخدم Cloud Shell مرة أخرى ، سيتم تنشيط الرمز على الفور ويمنح الوصول إلى المهاجمين.
يصف Tenable هذه المشكلة بأنها جزء من "مفهوم Jenga" - وهي صورة مفادها أن الخدمات السحابية مبنية على تكديس بعضها البعض. إذا كان أحد الجوانب إشكالية ، فقد يكون لها تأثير على النظام المتصل الآخر. "على غرار لعبة Jenga ، يمكن أن يعرض استخراج كتلة واحدة سلامة الهيكل بأكمله للخطر" ، قال كبير الباحثين في مجال الأمن في Tenable Liv Matan في بيانه الذي تم اقتباسه يوم الأحد ، 20 يوليو. قامت Oracle نفسها بإصلاح هذه المشكلة. لا يحتاج المستخدمون إلى اتخاذ تدابير إضافية ، ولكن هذه النتيجة هي تذكير مهم بأن المخاطر الأمنية في الخدمات السحابية لا يزال بحاجة إلى الحذر منها.
ووصف تينابل هذه المشكلة بأنها جزء من "مفهوم جنغا" - وهو صورة مفادها أن الخدمات السحابية مبنية على تراكم بعضها البعض.
إذا كان أحد الأجزاء إشكالية ، فقد يكون له تأثير على النظام المتصل الآخر.
"على غرار لعبة جنغا ، يمكن أن يعرض استخراج كتلة واحدة سلامة الهيكل بأكمله للخطر" ، قال كبير الباحثين الأمنيين في Tenable Liv Matan في بيان نقل يوم الأحد 20 يوليو.
وقد أصلحت أوراكل نفسها هذه المشكلة.
لا يحتاج المستخدمون إلى اتخاذ إجراءات إضافية ، ولكن هذه النتيجة هي تذكير مهم بأن مخاطر الأمان في الخدمات السحابية لا يزال يتعين الانتباه إليها.
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
