Une vulnérabilité critique dans l’éditeur de code d’OCI a exposé les environnements d’entreprise aux risques d’escalade RCE et privilégiés, mettant en évidence les dangers de la confiance implicite dans les outils cloud intégrés.
Une vulnérabilité désormais réglée dans l’Oracle Cloud Infrastructure (OCI) Code Editor Exposed Users to Remote Code Exécution (RCE) Attaque en un seul clic.
Découverte par Tenable Research, la faille pourrait permettre aux attaquants de télécharger des fichiers malveillants dans un environnement de shell cloud d’une victime et potentiellement pivoter vers des services plus larges. Selon les chercheurs, le coupable était un fichier mal gardé Téléchargez le point final caché dans un IDE basé sur un navigateur.
« L’attaque se produit par une victime connectée à l’OCI visitant un lien malveillant », a déclaré Liv Matan, chercheur principal en matière de sécurité du cloud, Tenable. «Il renforce la nécessité de traiter les outils de développement basés sur le navigateur avec le même contrôle de sécurité que les systèmes de production.»
Bien qu’une notation CVE ID et de gravité n’ait pas encore été émise, Matan a déclaré qu’il avait été porté à la note d’Oracle et a été rapidement corrigée par la société.
La surveillance du CSRF menant à RCE
L’éditeur de code d’OCI, un IDE basé sur le Web conçu pour gérer des ressources telles que les fonctions, Resource Manager et Data Science, a été conçu pour les flux de travail des développeurs sans couture. Mais c’est une intégration étroite avec Cloud Shell, l’environnement de ligne de commande basé sur le navigateur d’Oracle, qui partage le contexte de session, les systèmes de fichiers et l’environnement d’exécution, a créé l’exposition.
Les chercheurs tenables ont constaté que si le mécanisme de téléchargement direct de Cloud Shell a été joué par les règles, l’éditeur de code a discrètement exposé un point de terminaison de téléchargement de fichiers, manquant de protections contre la contrefaçon de demande croisée (CSRF).
« La page de l’attaquant envoie une demande de message silencieuse au point de terminaison de téléchargement de fichiers vulnérable dans l’éditeur de code », a déclaré Matan. « Cela place un fichier fabriqué dans le shell cloud. Lorsque la victime lance le shell cloud, le fichier est exécuté, conduisant à l’exécution du code distant. »
La permissivité provient probablement d’une hypothèse de confiance architecturale, a ajouté Matan.
Les attaques pourraient avoir un rayon de souffle plus large
Étant donné que l’éditeur de code fonctionne sur le même système de fichiers sous-jacent que le shell cloud – essentiellement dans un répertoire domestique Linux dans le cloud, les attaquants pourraient altérer les fichiers utilisés par d’autres services intégrés. Cela transforme la faille dans l’outil de développement apparemment contenu en une exposition pour le mouvement latéral à travers le paysage OCI.
«Dans la pratique, cela pourrait impliquer de tirer parti de la session active de la victime et des informations d’identification pour accéder à d’autres ressources OCI en usurpant l’identité de l’identité du cloud attachée», a souligné Matan. «Le rayon de souffle d’une telle attaque dépend des autorisations de l’identité compromise.»
La nature des intégrations de l’éditeur de code peut permettre à un attaquant de plus d’attaque les primitives, telles que la modification des fonctions, l’accès aux piles de gestionnaires de ressources ou l’injection de code dans des cahiers de science des données, selon l’environnement de la victime, a ajouté Matan.
Étant donné que Cloud Shell est pré-authentifié avec l’identité de l’utilisateur et partage l’état de session, il est considéré comme privilégié. Tout code exécuté dans cet environnement a le même niveau d’accès que l’utilisateur connecté, ce qui en fait une cible tentante pour les attaquants.
Matan a noté que la détection de cet exploit serait difficile sans audit spécifique sur des modifications de fichiers ou un comportement de CLI inhabituel. Cependant, une journalisation améliorée autour des téléchargements inattendus pourrait aider à identifier tôt l’activité anormale.
