วิศวกรจาก Wiz พบช่องโหว่บน cloud isolation บน Oracle Cloud ที่ทำให้ผู้โจมตีสามารถ attach storage volume ของลูกค้าคนใดก็ได้ที่ใช้งาน Oracle cloud กับ VM ของผู้โจมตี โดยไม่มีต้องมีสิทธิเข้าถึง tenant ของลูกค้า ขอเพียงแค่รู้ Oracle Cloud Identifier (OCID) ของ volume นั้น ๆ
เมื่อผู้โจมตี attach volume กับ VM ของตัวเองได้แล้ว ข้อมูลภายใน volume ทั้งหมดจะสามารถถูกอ่าน หรือเขียนได้โดยที่เจ้าของ volume อาจไม่รู้ตัวเลย
วิธีการแก้ไข
ภายใน 24 ชม หลังจากที่ Oracle ได้รับรายงานช่องโหว่ ทาง Oracle ได้ทำการอัปเดต patch ช่องโหว่ให้กับลูกค้าทุกราย โดยที่ลูกค้าไม่ต้องดำเนินการใด ๆ อีก
ที่มา : wiz
You must be logged in to post a comment.