Oracle-Lücke birgt Gefahr für RCE-Attacken – Source: www.csoonline.com

sdx15 – shutterstock.com

Forscher von Tenable Research haben eine Sicherheitslücke im Code-Editor von Oracle Cloud Infrastructure (OCI) entdeckt, die Unternehmen für Remote-Code-Execution-Angriffe (RCE) anfällig macht. Die webbasierte integrierte Entwicklungsumgebung (IDI) dient zur Verwaltung von Ressourcen wie Functions, Resource Manager und Data Science und sorgt für nahtlose Entwickler-Workflows.

Die enge Integration mit Cloud Shell, der Browser-basierten Befehlszeilenumgebung von Oracle, die Sitzungskontext, Dateisysteme und Laufzeitumgebung gemeinsam nutzt, führte allerdings zu einem Sicherheitsproblem, warnen die Security-Experten.

CSRF-Fehler führt zu RCE

Die Tenable-Forscher fanden heraus, dass der direkte Upload-Mechanismus von Cloud Shell zwar den Regeln entspricht, der Code Editor jedoch unbemerkt einen Endpunkt für Datei-Uploads offenlegt, der keinen Schutz vor Cross-Site-Request-Forgery (CSRF) bietet.

„Der Angriff erfolgt, indem ein bei OCI angemeldeter Benutzer einen bösartigen Link aufruft“, erklärt Liv Matan, Senior Cloud Security Researcher bei Tenable. „ Angreifer können eine stille POST-Anfrage an den anfälligen Datei-Upload-Endpunkt im Code Editor senden.“

Dadurch wird eine manipulierte Datei in Cloud Shell abgelegt. Wenn das Opfer Cloud Shell startet, wird die Datei und damit auch der Schadcode ausgeführt. „Dies unterstreicht erneut, wie wichtig es ist, Browser-basierte Entwicklungs-Tools mit derselben Sorgfalt zu behandeln wie Produktivsysteme“, mahnt Matan.

Eine CVE-ID und eine Schweregradbewertung wurden zwar noch nicht vergeben, aber Tenable hat Oracle bereits nach eigenen Angaben über das Sicherheitsproblem informiert. Der Anbieter habe daraufhin die Schwachstelle umgehend behoben, heißt es.

Angriffe könnten weitreichende Folgen haben

Da der Code Editor auf demselben zugrunde liegenden Dateisystem wie Cloud Shell läuft – im Wesentlichen ein Linux-Home-Verzeichnis in der Cloud –, könnten Angreifer Dateien manipulieren, die von anderen integrierten Diensten verwendet werden. Dadurch wird die Schwachstelle in dem scheinbar abgeschotteten Entwickler-Tool zu einer Gefahr für laterale Bewegungen in der gesamten OCI-Umgebung.

„In der Praxis könnte dies bedeuten, dass die aktive Sitzung und die Anmeldedaten des Opfers genutzt werden, um sich als die zugehörige Cloud-Identität auszugeben und so auf andere OCI-Ressourcen zuzugreifen“, führt der Security-Experte aus. „Das Ausmaß eines solchen Angriffs hängt von den Berechtigungen der kompromittierten Identität ab.“

Die Art der Code-Editor-Integrationen kann einem Angreifer je nach Umgebung des Opfers mehr Angriffsmöglichkeiten geben. „Dadurch können Bedrohungsakteure zum Beispiel Funktionen ändern , auf Resource-Manager-Stacks zugreifen oder Code in Data-Science-Notebooks einschleusen, so Matan.

Da Cloud Shell mit der Identität des Benutzers vorab authentifiziert ist und den Sitzungsstatus teilt, gilt es als privilegiert. Jeder in dieser Umgebung ausgeführte Code hat denselben Zugriff wie der angemeldete Benutzer, was ihn zu einem verlockenden Ziel für Angreifer macht.

Der Tenable-Researcher merkte an, dass die Erkennung eines solchen Exploits ohne spezifische Überwachung von Dateiänderungen oder ungewöhnlichem CLI-Verhalten schwierig sei. Eine verbesserte Protokollierung unerwarteter Uploads könnte jedoch dazu beitragen, anomale Aktivitäten frühzeitig zu erkennen.

Oracle hat bisher nicht auf die Anfrage von CSO nach einer Stellungnahme reagiert. Im Forschungsbericht wurde jedoch erwähnt, dass Oracle das Problem durch eine CSRF-Token-Anforderung behoben habe. Diese werde über einen benutzerdefinierten HTTP-Header erzwungen, den Browser in Cross-Origin-Anfragen nicht fälschen können, heißt es weiter. (jm)