IT Reseller Biznes i Technologie

Wiz wykryło poważną lukę bezpieczeństwa w Oracle Cloud Infrastructure. Błędy błyskawicznie załatano.

Krzysztof Bogacki

Firma Wiz, zajmująca się cyberbezpieczeństwem ujawniła, że odkryła kolejną poważną lukę w popularnym środowisku chmurowym OCI. 

Wiz ma ostatnio wysoką skuteczność w identyfikowaniu luk w zabezpieczeniach w intensywnie wykorzystywanych usługach chmurowych. Niedawno badacze Wiz znaleźli luki w Microsoft Azure, a teraz znaleźli podatność, określaną mianem krytycznej, w Oracle Cloud Infrastructure (OCI). Podatność ta mogła umożliwić „nieautoryzowany dostęp do wolumenów pamięci w chmurze dowolnego klienta”.

Błąd został odkryty jeszcze w czerwcu i, jak podają obie strony, naprawiony w ciągu jednej doby przez Oracle. Niemniej, jak podaje Wiz, była to „jedna z najpoważniejszych zgłoszonych luk w zabezpieczeniach chmury, która mogła mieć wpływ na wszystkich klientów OCI”. Podatność została nazwana przez badaczy jako „#AttachMe”.

 

„Izolacja klientów cloud jest kluczowym elementem w chmurze” — mówi wpis na blogu napisany przez Elada Gabaya, inżyniera oprogramowania w Wiz„Klienci oczekują, że ich dane nie będą dostępne dla innych klientów. Jednak luki w izolacji chmury przełamują mury między najemcami (…) Zanim został załatany, #AttachMe mógł umożliwić atakującym dostęp i modyfikowanie woluminów pamięci OCI innych użytkowników bez autoryzacji, naruszając w ten sposób izolację w chmurze”.

 

Okazuje się, że Oracle miało wiele szczęścia. Potencjalne straty, tak wizerunkowe, jak i w odszkodowaniach, mogłyby być naprawdę wielkie. Szczęśliwe dla Oracle było też to, że Wiz akurat integrowało swoją technologię bezpieczeństwa w chmurze z OCI, po tym, jak obie firmy nawiązały współpracę. To natomiast umożliwiło wychwycenie obecności luki w systemie Oracle. #AttachMe sprawiało m.in., że, jak podaje Wiz, „podłączenie dysku do maszyny wirtualnej na innym koncie nie wymaga żadnych uprawnień”. „Oznacza to, że potencjalny atakujący mógł uzyskać dostęp i zmodyfikować dane od dowolnego klienta OCI, a w niektórych przypadkach nawet przejąć środowisko” – uzupełnia firma w swoim poście na blogu.

 

[Relacja] IFA 2022 – targi elektroniki użytkowej wróciły w dobrej formie!

Najnowszy numer

Więcej z danej firmy

Chiński producent wprowadził procesor bezpieczeństwa oparty na architekturze RISC-V

Trend Micro zmieni właściciela?

OpenAI powołuje profesora AI Zico Koltera do zarządu

MacOS jednak nie taki bezpieczny? Najnowszy raport przynosi zaskakujące wnioski...

CEO CrowdStrike wezwany do złożenia zeznań przed Kongresem po globalnej...

Czy Wiz odrzuci propozycję Google’a o wartości 23 mld USD?...

Czy Huawei pozostanie w grze? Niemcy wybrali interesującą drogę

Google ma prowadzić zaawansowane rozmowy dot. przejęcia cyberstart-upu Wiz za...

Huawei odpowiedziało na zarzuty w Niemczech: „Nie ma konkretnych dowodów...

Centra danych coraz bezpieczniejsze pomimo wzrostu zagrożeń

Polecane artykuły

Cyfrowe priorytety polskiej prezydencji w Unii Europejskiej tematem spotkania europejskiej...

„Kontrakt z HP otwiera dla nas oraz dla naszych partnerów...

„Najwięcej zyskają ci webmasterzy, którzy potrafią rozmawiać z klientem” –...

iiyama meets the press – pierwsze wydarzenie dla mediów w...

„Zrównoważony rozwój to wysiłek zespołowy” – twierdzi Sophie Graham, IFS...

„Wspólne działania dadzą nam możliwość zwiększenia biznesu, poszerzenia kanału partnerskiego”...

Zgodność z dyrektywą NIS2 i budowanie odporności cybernetycznej – ocenia...

Źródła sukcesów Grupy AB, w najnowszym wywiadzie okładkowym przedstawia Patrycja...

IT Channel Leaders 2024: „Współpraca i partnerstwo najważniejsze” – wspólnie...

Dell Technologies Forum 2024: „Największa konferencja w branży IT w...

Najnowszy numer