Lỗ Hổng Khai Thác Mã Từ Xa (RCE) Nghiêm Trọng Trong Oracle Cloud Infrastructure Code Editor
Tenable Research đã công bố một lỗ hổng Khai thác Mã từ Xa (RCE) nghiêm trọng trong Code Editor của Oracle Cloud Infrastructure (OCI). Lỗ hổng này cho phép kẻ tấn công bí mật chiếm quyền môi trường Cloud Shell của nạn nhân chỉ thông qua một liên kết độc hại duy nhất. Sau khi được Oracle khắc phục, lỗ hổng này có khả năng cho phép các tác nhân đe dọa di chuyển ngang qua nhiều dịch vụ OCI và xâm phạm các công cụ phát triển tích hợp.
Chi Tiết Kỹ Thuật Lỗ Hổng
Điểm yếu bảo mật này bắt nguồn từ một lỗ hổng Cross-Site Request Forgery (CSRF) trong cơ chế tải file của Oracle Code Editor. Các nhà nghiên cứu phát hiện ra rằng môi trường phát triển tích hợp (IDE) dựa trên trình duyệt này chia sẻ cùng một hệ thống file cơ bản với Cloud Shell. Sự tích hợp chặt chẽ này đã tạo ra một bề mặt tấn công không ngờ.
Lỗ hổng tập trung vào một thành phần định tuyến (router) của Cloud Shell, nơi một endpoint có tên /file-upload được công bố mà thiếu các biện pháp bảo vệ CSRF phù hợp. Thêm vào đó, cookie xác thực được cấu hình với thuộc tính SameSite=None. Cấu hình này không cung cấp bất kỳ sự bảo vệ nào chống lại các yêu cầu cross-site (từ các nguồn gốc khác).
Sự kết hợp giữa endpoint không được bảo vệ và thuộc tính cookie SameSite=None đã cho phép bất kỳ trang web bên ngoài nào có thể kích hoạt các hoạt động tải file lên môi trường Cloud Shell của nạn nhân, miễn là nạn nhân đã được xác thực vào Oracle Cloud Infrastructure.
Vector Tấn Công và Khai Thác
Vector tấn công được xác định là vô cùng đơn giản nhưng mang lại hậu quả nghiêm trọng. Kẻ tấn công có thể tạo ra một trang HTML độc hại. Khi một người dùng OCI đã được xác thực truy cập trang này, trang đó sẽ tự động và bí mật tải lên các file độc hại đến các vị trí nhạy cảm trong hệ thống file của Cloud Shell, chẳng hạn như file cấu hình người dùng .bashrc.
Khi nạn nhân tiếp theo khởi tạo Cloud Shell, mã độc hại đã được tải lên sẽ tự động thực thi. Việc thực thi này có thể thiết lập quyền truy cập từ xa (reverse shell), cho phép kẻ tấn công tương tác trực tiếp với môi trường Cloud Shell của nạn nhân. Với quyền truy cập này, kẻ tấn công có thể lợi dụng các khả năng của OCI CLI (Oracle Cloud Infrastructure Command Line Interface) để thực hiện các cuộc tấn công sâu hơn, bao gồm di chuyển ngang qua các dịch vụ OCI khác bằng cách sử dụng danh tính đám mây của chính nạn nhân.
Bằng chứng khái niệm (Proof-of-Concept) đã chứng minh cách kẻ tấn công có thể ghi đè các file cấu hình shell để thiết lập reverse shell, qua đó đạt được quyền truy cập tương tác vào môi trường Cloud Shell của nạn nhân.
Các Chỉ Dấu Kỹ Thuật Tiềm Năng của Tấn Công
Dù không có IOC cụ thể như hash file hay địa chỉ IP được cung cấp, quá trình khai thác đã được mô tả có thể tạo ra các chỉ dấu sau trong môi trường bị ảnh hưởng:
- Các file có nội dung đáng ngờ được sửa đổi hoặc tạo mới trong thư mục gốc của người dùng Cloud Shell, đặc biệt là các file cấu hình shell như
.bashrc,.profile, hoặc.zshrc. - Sự xuất hiện của các kết nối mạng không mong muốn ra bên ngoài từ môi trường Cloud Shell (ví dụ: các kết nối đến các máy chủ C2 của kẻ tấn công) do reverse shell được kích hoạt.
- Các lệnh OCI CLI bất thường hoặc không được ủy quyền được thực thi từ môi trường Cloud Shell hoặc dưới danh tính của người dùng bị xâm phạm.
Phạm Vi Ảnh Hưởng và Các Dịch Vụ Liên Quan
Ngoài việc chiếm quyền truy cập Cloud Shell, lỗ hổng này còn đặt ra rủi ro cho các dịch vụ tích hợp của Code Editor, bao gồm Resource Manager, Functions và Data Science. Do các dịch vụ này chia sẻ cùng một môi trường hệ thống file cơ bản, kẻ tấn công có khả năng:
- Can thiệp vào các chức năng (Functions) đã được triển khai.
- Sửa đổi không gian làm việc (workspaces) của Resource Manager.
- Làm tổn hại quy trình làm việc của Data Science.
Điều này tạo ra một mối đe dọa đa bề mặt trên bộ công cụ dành cho nhà phát triển của OCI.
Biện Pháp Khắc Phục và Tối Ưu Hóa Bảo Mật
Oracle đã nhanh chóng xử lý lỗ hổng này bằng cách triển khai các biện pháp bảo vệ CSRF bổ sung. Giải pháp khắc phục yêu cầu một header HTTP tùy chỉnh, cụ thể là x-csrf-token, cho tất cả các yêu cầu liên quan đến việc tải file. Biện pháp giảm thiểu này chặn hiệu quả các yêu cầu cross-origin trái phép.
Cơ chế hoạt động là do các trình duyệt web hiện đại không thể tự ý đặt các header tùy chỉnh (như x-csrf-token) trong các yêu cầu cross-origin mà không có cấu hình CORS (Cross-Origin Resource Sharing) phù hợp được thiết lập bởi máy chủ đích. Điều này đảm bảo rằng chỉ các yêu cầu hợp lệ, có nguồn gốc từ các ứng dụng được ủy quyền mới có thể thực hiện thao tác tải file.
Bài Học và Khuyến Nghị
Lỗ hổng này nhấn mạnh những thách thức bảo mật đặc trưng bởi các dịch vụ đám mây được tích hợp chặt chẽ. Trong môi trường này, các tính năng tiện lợi và khả năng tương tác có thể vô tình tạo ra các vector tấn công mới. Sự phụ thuộc vào các thuộc tính bảo mật mặc định của trình duyệt và sự chia sẻ tài nguyên ngầm giữa các dịch vụ có thể dẫn đến các lỗ hổng nghiêm trọng nếu không được thiết kế và kiểm tra kỹ lưỡng.
Các tổ chức đang sử dụng Oracle Cloud Infrastructure cần đảm bảo rằng môi trường của họ luôn được cập nhật với các bản vá bảo mật mới nhất từ Oracle để bảo vệ chống lại các lỗ hổng tương tự trong tương lai.
