Una vulnerabilidad de la ejecución de código remoto (RCE) crítico en el editor de código de Infraestructura de Oracle Cloud (OCI) que permitió a los atacantes secuestrar silenciosamente los entornos de shell Cloud de Vicim a través de un solo clic.
La vulnerabilidad, ahora remediada, afectó los servicios integrados del editor de código, incluidos el administrador de recursos, las funciones y la ciencia de datos, que demuestra cómo las herramientas de desarrollo de la nube aparentemente aisladas pueden convertirse en vectores de ataque.
Control de llave
1. La carga de archivos del editor de código de Oracle Cloud no tenía protección CSRF, permitiendo cargas de archivos maliciosos de 1 clic.
2. Activado ejecución de código remoto y compromiso potencial de los servicios de OCI integrados.
3. Oracle agregó encabezados obligatorios de X-CSRF-token para evitar ataques de origen cruzado.
Vulnerabilidad del editor de código de Oracle
La vulnerabilidad se derivó de la integración profunda del editor de código de Oracle con Cloud Shell, donde ambos servicios comparten el mismo sistema de archivos subyacente y contexto de sesión de usuario.
Si bien este acoplamiento apretado fue diseñado para proporcionar una experiencia de desarrollador perfecta, creó una superficie de ataque inesperada que los investigadores explotaron.
Investigación de Tenable comenzó Con una pregunta simple: si los desarrolladores pueden cargar archivos fácilmente a través del editor de código, ¿podrían los atacantes hacer lo mismo? Esto condujo al descubrimiento de un punto final A /File-Spload en el editor de código que carecía de defensas de falsificación de solicitudes de sitios cruzados (CSRF), a diferencia del mecanismo de carga correctamente asegurado de Cloud Shell.
El componente crítico en el corazón de esta vulnerabilidad fue el enrutador de shell de la nube (router.cloudshell.us-ashburn-1.oci.oraclecloud.com), que aceptó solicitudes de post HTTP que contienen cargas útiles multipart/de datos de forma.
El enrutador utilizó una cookie CS-ProxyChallenge configurada con el atributo Samesite = Ninguno, no ofreciendo protección contra solicitudes de sitios cruzados de usuarios autenticados.
El camino de explotación fue notablemente sencillo. Los atacantes podrían crear páginas HTML maliciosas que, cuando lo visiten usuarios de OCI autenticados, cargarían automáticamente archivos maliciosos al entorno de shell de la víctima sin su conocimiento.
El ataque utilizó una solicitud HTTP diseñada:
Los investigadores demostraron cómo los atacantes podían anular los archivos .BASHRC para establecer capas inversas, obteniendo acceso interactivo a la nube y aprovechando las credenciales de víctimas para el movimiento lateral a través de los servicios de OCI utilizando la CLI OCI.
Medidas de protección
Oracle respondió a la vulnerabilidad implementando medidas de seguridad adicionales, lo que requiere específicamente un encabezado HTTP personalizado X-CSRF-Token con valor CSRF-Valor para todas las solicitudes relevantes.
Este cambio mitiga efectivamente los ataques CSRF ya que los navegadores no pueden incluir automáticamente encabezados personalizados en las solicitudes de origen cruzado sin la configuración de CORS adecuada. El impacto de la vulnerabilidad se extendió más allá de Cloud Shell a los servicios integrados del editor de código.
Dado que estos servicios operan en el mismo sistema de archivos compartidos, las cargas útiles maliciosas podrían comprometer los espacios de trabajo de los administradores de recursos, las implementaciones de funciones y los entornos de ciencia de datos, creando una amenaza de la superficie múltiple en el kit de herramientas para desarrolladores de OCI.
Este incidente destaca los desafíos de seguridad inherentes a las integraciones de servicios en la nube, donde las características de conveniencia pueden expandir inadvertidamente las superficies de ataque más allá de su alcance previsto.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}