作成可能なOracleクラウドサービスでセキュリティギャップを見つける

ジャカルタ-サイバーセキュリティ企業のTenableは、攻撃者がリモートサーバーで悪意のあるコードを実行するために使用できるOracleクラウドインフラストラクチャ(OCI)に深刻な脆弱性を発見しました。

このセキュリティギャップは、Oracle Cloud サービスを管理するために開発者が一般的に使用する Oracle Cloud の機能の 1 つである Code Manager にあります。

Tenableによると、この抜け穴を利用することで、攻撃者はクラウド上のユーザーの作業環境を乗っ取り、任意のコマンドを実行し、機密データを盗み、リソースマネージャー、機能、データサイエンスなどの他の重要なサービスにアクセスすることさえできます。

さらに悪いことに、この抜け穴は、より広いシステムの侵入につながる可能性があります。

したがって、ユーザーがCloud Shellを再度開くと、コードがすぐにアクティブになり、攻撃者にアクセスできるようになります。

Tenableはこの問題を「ジェンガコンセプト」の一部と呼んでおり、クラウドサービスが構築されているという考えです。問題がある場合は、接続された別のシステムに影響を与える可能性があります。「Jengaのゲームと同様に、1つのブロックを抽出すると、構造全体の完全性を損なう可能性があります」と、Tenable Liv Matanのシニアセキュリティ研究者は、7月20日(日)に引用された声明で述べています。オラクル自身もこの問題を解決した。ユーザーは追加のアクションを実行する必要はありませんが、この調査結果は、クラウドサービスのセキュリティリスクが引き続き注意する必要があることを思い出させる重要な要素です。

Tenableはこの問題を「意図されたコンセプト」(クラウドサービスが構築されているという考え)の一部と呼んでいます。

ある部分に問題がある場合、別の接続システムに影響を与える可能性があります。

「Jengaゲームと同様に、1つのブロックを抽出すると、構造全体の完全性が損なわれる可能性があります」と、Tenableのシニアセキュリティ研究員Liv Matanは、7月20日日曜日に引用された声明で述べています。

オラクル自身もこの問題を解決した。

ユーザーは追加のアクションを行う必要はありませんが、この調査結果は、クラウドサービスのセキュリティリスクに引き続き注意する必要があることを重要に思い出させるものです。