Oracle Cloud Vulnerability #AttachMe的警示

关键要点

• AttachMe 是 Oracle Cloud Infrastructure (OCI) 的一个严重漏洞，攻击者可以在未授权的情况下访问或破坏敏感数据。

• 该漏洞的核心问题是攻击者只需知道存储卷的 Oracle Cloud Identifier (OCID) 即可进行攻击。

• Oracle 在受到警告后的24小时内修补了该漏洞，用户无需采取任何行动。
• 此漏洞引发了对未来云隔离漏洞的担忧，组织需要加强对云资产的访问控制。

研究人员周二报告称，#AttachMe 是 Oracle Cloud Infrastructure (OCI)
中一个危险的云隔离漏洞，令人担忧因为攻击者可能在未获授权的情况下进行攻击。

在一篇 中，Wiz的研究人员表示，任何未连接的存储卷或允许多重连接的存储卷都可能被攻击者读取或写入，只要攻击者知道 Oracle Cloud Identifier
(OCID)，就可能导致敏感数据泄露或通过可执行文件操控进行更具破坏性的攻击。

Wiz 的工程师在六月发现了这个漏洞，并在通知 Oracle 后的24小时内为所有 OCI 客户修复了 #AttachMe，用户无需采取任何措施。

为什么 #AttachMe 漏洞如此严重？

Deep Instinct 的竞争情报分析师 Jerrod Piker 表示，此问题的根本在于攻击者可以在未获授权的情况下从 OCI存储卷中提取或破坏敏感数据。Piker 说明，大多数漏洞至少需要某种特权访问才能实施，而此漏洞仅需攻击者知道存储卷的 OCID。

他指出，#AttachMe 漏洞与其他云隔离漏洞独特之处在于，它与核心的 OCI 相关。这意味着，未连接的存储卷可能被攻击者附加到另一个账户的虚拟机上，且无需任何权限。Piker 认为这种情况极为令人担忧，因为每一个
OCI 客户均可能成为潜在目标。

“Oracle 认识到此漏洞的严重性，并在几个小时内为所有客户进行了修补，无需客户采取任何行动，” Piker 说。 “虽然看到 Oracle
的快速反应令人欣慰，但对于可能出现的后续云隔离漏洞仍令人担忧。最重要的是，采取行动保护每个云资产和资源，实际实施最小权限模型，并监督和强制管理所有面向互联网的云资产和信息的访问控制及相关活动。”

Vulcan Cyber 的高级技术工程师 Mike Parkin补充道，虽然没有迹象表明威胁行为者曾利用此漏洞，但任何允许未授权访问其他用户数据的漏洞都是有问题的。在这种情况下，任何处于 Oracle CloudInfrastructure 中的用户都可以在知道存储卷 ID 的情况下附加到其他用户的卷。

“访问造成的损害程度取决于存储卷中的内容，但任何未授权访问都应被视为不良事情，” Parkin 说。 “幸运的是，Oracle
在此漏洞曝光后的24小时内针对其 OCI
环境进行了修补。为了防止未来出现相关问题，安全和开发团队需要对可能导致未授权访问的信息进行更严格的管控，包括存储卷 ID
和其他虽然不是关键秘密但应被视为至少机密的信息。”

Dig Security 的联合创始人兼首席执行官 Dan Benjamin 认为 Wiz安全团队的发现非常重要。他表示，云用户必须不断加强系统的额外控制，以保护数据在其环境中的访问。然而，他强调，这种漏洞意味着即使他们实施了正确的控制，也面临数据泄露的风险。

“尽管Oracle已经解决了这个问题，但是该漏洞绝对如Wiz研究团队所说的那样危险，可能对Oracle的云用户产生广泛影响，” Benjamin
说。“这是另一个安全团队需要迅速修补和频繁修补的例子。”