ワンクリックで侵害：Oracle Cloud Code Editorの脆弱性によりユーザーがRCEの危険に晒される

現在は修正されているOracle Cloud Infrastructure（OCI）のCode Editorの脆弱性により、ユーザーはワンクリックでリモートコード実行（RCE）攻撃に晒されていました。

Tenable Researchによって発見されたこの脆弱性は、攻撃者が被害者のCloud Shell環境に悪意のあるファイルをアップロードし、さらに広範なサービスへと攻撃を拡大する可能性がありました。研究者によると、原因はブラウザベースのIDE内に隠された、十分に保護されていないファイルアップロードエンドポイントでした。

「攻撃は、OCIにログインしている被害者が悪意のあるリンクにアクセスすることで発生します」と、TenableのシニアクラウドセキュリティリサーチャーであるLiv Matan氏は述べています。「このことは、ブラウザベースの開発ツールも本番システムと同じレベルのセキュリティ精査が必要であることを再認識させます。」

まだCVE IDや深刻度評価は発行されていませんが、Matan氏によれば、この問題はOracleに報告され、同社によって迅速に修正されました。

CSRFの見落としがRCEにつながる

OCIのCode Editorは、Functions、Resource Manager、Data Scienceなどのリソース管理のために設計されたウェブベースのIDEです。しかし、セッションコンテキスト、ファイルシステム、実行環境を共有するOracleのブラウザベースコマンドライン環境であるCloud Shellとの緊密な統合が、脆弱性を生み出していました。

Tenableの研究者は、Cloud Shellの直接アップロード機能には問題がなかったものの、Code Editorが密かにファイルアップロードエンドポイントを公開しており、クロスサイトリクエストフォージェリ（CSRF）対策が施されていなかったことを発見しました。

「攻撃者のページは、Code Editor内の脆弱なファイルアップロードエンドポイントに対してサイレントなPOSTリクエストを送信します」とMatan氏は説明します。「これにより細工されたファイルがCloud Shellに配置され、被害者がCloud Shellを起動するとそのファイルが実行され、リモートコード実行につながります。」

この許容性は、アーキテクチャ上の信頼の前提から生じた可能性が高いと、Matan氏は付け加えました。

攻撃の影響範囲はさらに広がる可能性

Code EditorはCloud Shellと同じ基盤となるファイルシステム、つまりクラウド上のLinuxホームディレクトリ上で動作しているため、攻撃者は他の統合サービスで使用されるファイルを改ざんすることができます。これにより、一見限定的な開発ツールの脆弱性が、OCI全体での横断的な攻撃の足掛かりとなります。

「実際には、攻撃者が被害者のアクティブなセッションや認証情報を利用し、紐付けられたクラウドIDになりすまして他のOCIリソースへアクセスすることも考えられます」とMatan氏は指摘します。「このような攻撃の影響範囲は、侵害されたIDの権限によって異なります。」

Code Editorの統合の性質により、攻撃者は関数の変更、Resource Managerスタックへのアクセス、Data Scienceノートブックへのコード注入など、被害者の環境に応じてより多くの攻撃手法を得ることができるとMatan氏は付け加えました。

Cloud ShellはユーザーのIDで事前認証されており、セッション状態を共有しているため、特権が与えられています。この環境で実行されるコードは、ログインユーザーと同じレベルのアクセス権を持つため、攻撃者にとって魅力的な標的となります。

Matan氏は、この攻撃の検知は、ファイルの変更や異常なCLI動作に対する特定の監査がなければ困難であると述べています。しかし、予期しないアップロードに関するログを強化することで、異常な活動を早期に特定できる可能性があるとしています。

OracleはCSOのコメント要請にすぐには応じませんでしたが、公開情報によると、Oracleの修正はCSRFトークンの必須化という形で実施されました。研究者によれば、これはカスタムHTTPヘッダーを通じて強制されており、ブラウザはクロスオリジンリクエストでこれを偽装できないとのことです。