Oracleの脆弱性がRCE攻撃の危険をもたらす

sdx15 – shutterstock.com

Tenable Researchの研究者は、Oracle Cloud Infrastructure（OCI）のコードエディターに、企業がリモートコード実行（RCE）攻撃にさらされる脆弱性を発見しました。ウェブベースの統合開発環境（IDE）は、Functions、Resource Manager、Data Scienceなどのリソース管理に利用され、開発者のワークフローをシームレスにします。

しかし、Oracleのブラウザベースのコマンドライン環境であるCloud Shellと密接に統合されており、セッションコンテキスト、ファイルシステム、実行環境を共有していることが、セキュリティ上の問題につながったとセキュリティ専門家は警告しています。

CSRFの不備がRCEにつながる

Tenableの研究者によると、Cloud Shellの直接アップロード機構自体は規則に準拠しているものの、Code Editorが気付かれずにファイルアップロード用のエンドポイントを公開しており、クロスサイトリクエストフォージェリ（CSRF）から保護されていませんでした。

「攻撃は、OCIにログインしているユーザーが悪意のあるリンクをクリックすることで実行されます」とTenableのシニアクラウドセキュリティリサーチャー、Liv Matan氏は説明します。「攻撃者は、Code Editorの脆弱なファイルアップロードエンドポイントに対して、密かにPOSTリクエストを送信できます。」

これにより、改ざんされたファイルがCloud Shellに配置されます。被害者がCloud Shellを起動すると、そのファイルとともに悪意のあるコードが実行されます。「このことは、ブラウザベースの開発ツールも本番システムと同じ慎重さで扱うべきであることを改めて示しています」とMatan氏は警鐘を鳴らします。

CVE-IDや深刻度評価はまだ付与されていませんが、TenableはすでにOracleにこのセキュリティ問題を報告したとしています。ベンダーは直ちに脆弱性を修正したとのことです。

攻撃は広範な影響を及ぼす可能性

Code EditorはCloud Shellと同じ基盤となるファイルシステム上で動作しており、実質的にはクラウド上のLinuxホームディレクトリです。そのため、攻撃者は他の統合サービスが利用するファイルを改ざんできる可能性があります。これにより、一見隔離された開発者ツールの脆弱性が、OCI環境全体での横方向の移動リスクとなります。

「実際には、被害者のアクティブなセッションや認証情報を使って、関連するクラウドIDになりすまし、他のOCIリソースにアクセスできる可能性があります」とセキュリティ専門家は述べています。「このような攻撃の影響範囲は、侵害されたIDの権限によって異なります。」

Code Editorの統合の仕方によっては、被害者の環境次第で攻撃者の攻撃範囲が広がる可能性もあります。「例えば、脅威アクターはFunctionsを変更したり、Resource Managerスタックにアクセスしたり、Data Scienceノートブックにコードを挿入することができるでしょう」とMatan氏は述べています。

Cloud ShellはユーザーのIDで事前認証され、セッション状態も共有されているため、特権的な環境と見なされます。この環境で実行されるコードは、ログインユーザーと同じアクセス権を持つため、攻撃者にとって魅力的な標的となります。

Tenableの研究者は、このようなエクスプロイトを、ファイル変更や異常なCLI動作を特定的に監視しない限り検知するのは難しいと指摘しています。しかし、予期しないアップロードのログを強化することで、異常な活動を早期に検知できる可能性があります。

Oracleは現時点でCSOからのコメント要請に回答していません。ただし、調査報告書では、OracleがCSRFトークンの要求によって問題を修正したと記載されています。これは、カスタムHTTPヘッダーを通じて強制され、ブラウザはクロスオリジンリクエストでこのヘッダーを偽造できないとされています。（jm）