اكتشف باحثو شركة Tenable وجود ثغرة أمنية في أداة Code Editor التابعة لمنصة Oracle Cloud Infrastructure (OCI)، تتيح للمهاجمين تنفيذ أوامر عن بُعد (RCE) ورفع الامتيازات في بيئة المستخدم بضغطة واحدة فقط، وهو ما يُبرز المخاطر المترتبة على الثقة الضمنية في أدوات التطوير المدمجة بالسحابة.
ووفقاً لما صرح به ليف ماتان، كبير الباحثين في أمن السحابة في Tenable، فإن الخلل يكمن في نقطة تحميل ملفات غير محمية ضمن بيئة IDE تعمل عبر المتصفح، ما يسمح للمهاجمين بإرسال ملف خبيث بصمت إلى بيئة Cloud Shell الخاصة بالمستخدم، ليتم تنفيذه لاحقاً بمجرد تشغيل الجلسة.
وأشار ماتان إلى أن الهجوم يمكن أن يُنفذ بمجرد زيارة الضحية لرابط خبيث أثناء تسجيل الدخول إلى منصة «أوراكل»، مؤكداً أن الثغرة عولجت سريعاً بعد تبليغ الشركة، من خلال فرض رمز أمني (CSRF token) يُرسل عبر ترويسة مخصصة في بروتوكول HTTP.
الثقة الضمنية في أدوات التطوير… خطر خفي
تُستخدم أداة Code Editor لإدارة موارد مثل Functions وResource Manager وData Science، وتعمل ضمن نفس بيئة Cloud Shell التي تشارك ملفات المستخدم وبيانات الجلسة ونظام التشغيل ذاته، وهو ما يجعل أي كود يتم تحميله إلى هذه البيئة يمتلك امتيازات المستخدم نفسه.
وأوضح الباحثون أن آلية الرفع المباشر للملفات في Cloud Shell تخضع لضوابط صارمة، إلا أن Code Editor كانت تحتوي نقطة تحميل صامتة دون حماية ضد التزوير عبر المواقع (CSRF)، ما شكّل بوابة غير مرئية للهجمات.
الخطر يمتد إلى خدمات سحابية متصلة
نظراً لأن أدوات مثل Resource Manager وData Science تتشارك بنية الملفات مع Cloud Shell، فإن الاستغلال الناجح للثغرة قد يتيح للمهاجم الوصول إلى ملفات هذه الخدمات وتعديلها أو حقن تعليمات خبيثة، وهو ما قد يُستخدم لاحقاً للتنقل الجانبي (Lateral Movement) ضمن بيئة المستخدم السحابية.
ويحذّر الخبراء من أن اكتشاف مثل هذه الأنشطة التخريبية ليس بالأمر السهل، في ظل غياب آليات تدقيق دقيقة لتغيرات الملفات أو الأوامر غير المعتادة في الواجهة النصية (CLI)، غير أن تحسينات في تتبع تحميل الملفات غير المألوفة قد توفر مؤشرات إنذار مبكر.
وتعليقاً على ذلك، أكد ماتان أن خطورة الهجوم ترتبط مباشرةً بمستوى صلاحيات الحساب المستهدف، خاصة أن بيئة Cloud Shell تُعد مسبقاً بيئة موثوقة ومصادَق عليها بهوية المستخدم، ما يجعل أي كود يعمل ضمنها يتمتع بنفس الامتيازات.
