Seguridad en la nube
,
Crimen cibernético
,
Gestión de fraude y delito cibernético
Oracle Cloud Infraestructure Flaw habilitó cargas de archivos maliciosos, encontraron los investigadores
Mathew J. Schwartz (euroinfosec) •
16 de julio de 2025
Los investigadores de Tenable encontraron que la herramienta de editor de código basada en la consola de Oracle no pudo bloquear las cargas de archivos arbitrarios, y podría explotarse en silencio a través de ataques de transmisión para instalar malware. (Imagen: Shutterstock)
Explorando las capacidades de shell Cloud Infrastructure de Oracle Cloud, los investigadores descubrieron que el editor de código estrechamente integrado de Oracle podría explotarse en silencio a través de ataques de transmisión para instalar malware. Ver también: A pedido | Desde el parche hasta la prevención: modernización de la remediación en entornos híbridos
Proveedor de gestión de vulnerabilidades Tenable el miércoles dicho Descubrió e informó la vulnerabilidad de ejecución de código remoto crítico a Oracle, y agregó que ahora se ha solucionado y que los usuarios están protegidos.
Aun así, el descubrimiento destaca un desafío continuo relacionado con los entornos de nube modernos ricos en características, dijo el veterano cazador de errores Liv Matan, un investigador de seguridad senior de Investigación Tenable. «Las integraciones no son solo las comodidades, son puntos potenciales para las vulnerabilidades», dijo.
La infraestructura de Oracle Cloud ampliamente utilizada, u OCI, proporciona a los usuarios más de 150 servicios en la nube, desde contenedores y almacenamiento hasta VMware e inteligencia artificial. Miles de empresas y numerosos gobiernos usar OCI, incluyendo Deloitte Consulting, GE Appliances, Hewlett Packard Enterprise, Xerox y la oficina de enlace del Parlamento Europeo en Bélgica, entre muchos otros.
Se integró en OCI está Cloud Shell, un terminal Linux completo, basado en el navegador, accesible a través de la consola Oracle Cloud que proporciona acceso a herramientas de desarrolladores, incluidas GIT y Java, así como los tiempos de ejecución de idiomas preinstalados.
Al estudiar OCI, los investigadores encontraron que Cloud Shell parecía estar muy bien asegurado.
Lo mismo no era cierto para Editor de códigoque Oracle describe como «una herramienta de edición de código basada en la consola que no requiere una configuración o instalación de infraestructura y se puede lanzar desde cualquier lugar dentro de la consola OCI, servicios compatibles y Shell Cloud de Oracle Cloud Infrastructure». La herramienta incluye integraciones con múltiples servicios de OCI Core, incluido el administrador de recursos, las funciones y la ciencia de datos, así como la integración de GIT.
«El editor de códigos a menudo es tratado por investigadores y usuarios como un espacio aislado y aislado de Sandbox, pero su profunda interfaz con el gerente de recursos, las funciones y la ciencia de datos sugieren lo contrario», dijo Matan en un informe de investigación publicado el miércoles.
Por lo tanto, los investigadores investigaron esta pregunta simple relacionada con el editor de código: «Si un desarrollador puede cargar archivos fácilmente, ¿puede un atacante?»
La respuesta resultó ser afirmativa. Mientras que Cloud Shell parecía detectar cuidadosamente todas y cada una de las cargas, el editor de código basado en el navegador «expuso un /file-upload Punto final que carecía de falsificación de solicitudes de sitios cruzados – CSRF – Defensas «, dijo Matan.» Esta desalineación abrió la puerta a la manipulación remota de archivos a través de solicitudes de sitios cruzados diseñados «.
Como los investigadores demostraron en una exploit de prueba de concepto compartida con Oracle, «un atacante podría crear una página web que, cuando lo visite un usuario autenticado de Infraestructura de Oracle Cloud, cargaría un archivo malicioso a su editor en la nube sin su conocimiento». Dado que el editor de códigos se construyó sobre el sistema de archivos de shell de nube, esta carga de archivos iría directamente al shell de nube de una víctima, lo que les permite ejecutar de forma remota.
Debido a que el editor de códigos podría afectar el sistema de archivos de shell de la nube, los atacantes también podrían explotar la falla para llegar a otros servicios integrados.
«Los atacantes también pueden manipular los archivos utilizados por el administrador de recursos, las funciones o los servicios de ciencia de datos, todos los cuales dependen de este entorno compartido», dijo Matan. «Por ejemplo, inyectar código malicioso en una función implementada o modificar el espacio de trabajo del administrador de recursos puede conducir a un compromiso más amplio entre los servicios de OCI. En esencia, lo que comienza como una simple explotación de CSRF dirigida a los archivos de los archivos de la nube rápidamente se intensifica rápidamente en una amenaza de la superficie múltiple, lo que comprende no solo el caparazón, sino también el conjunto de herramientas de desarrollador en torno a las herramientas de desarrollo».
Oracle’s Fix ha sido agregar protección CSRF agregando un encabezado HTTP personalizado llamado x-csrf-token con el valor csrf-value Para garantizar que «solo las solicitudes autorizadas y formadas correctamente generadas desde el entorno de Oracle Cloud autenticada son aceptadas por el servidor», dijo Matan. «Sin este encabezado, las solicitudes se rechazan, mitigando efectivamente el comportamiento previamente explotable».
Este arreglo de salvaguardas contra CSRF porque, como Mozilla notas»Por razones de seguridad, los navegadores restringen las solicitudes de HTTP de origen cruzado iniciadas a partir de scripts», incluido JavaScript, lo que significa que un origen diferente no puede establecer encabezados personalizados, a menos que el servidor de destino se haya establecido para permitir explícitamente esta capacidad a través del intercambio de recursos de origen cruzado o CORS.
Tenable dijo que el fallas de Oracle se destaca como lo último en una larga línea de problemas de seguridad en capas en entornos de nubes. Asegurar entornos en la nube es como un juego de Jenga, dijo Tenable, en el que los jugadores eliminan los bloques de la parte inferior y los colocan en la parte superior, con el objetivo de no ser el que pierde enviando la torre chocando hacia abajo (ver: Google Cloud Fix Blocks Access del contenedor no autorizado).
«Los servicios en la nube son como bloques», dijo Matan. «Si un servicio se ve comprometido, los otros servicios construidos sobre él heredan el riesgo y la vulnerabilidad».