阿里云數(shù)據(jù)庫曝出兩個(gè)嚴(yán)重漏洞�����,全球公有云漏洞層出不窮
2023年04月22日
4月21日消息���,阿里云數(shù)據(jù)庫ApsaraDB RDS for PostgreSQL 和 AnalyticDB for PostgreSQL曝出一組兩個(gè)嚴(yán)重漏洞��,可用于突破租戶隔離保護(hù)機(jī)制�,訪問其他客戶的敏感數(shù)據(jù)�����。
美國云安全公司W(wǎng)iz發(fā)布報(bào)告稱,“這些漏洞可能允許對(duì)阿里云客戶的PostgreSQL數(shù)據(jù)庫進(jìn)行未經(jīng)授權(quán)訪問�,并對(duì)阿里巴巴的這兩項(xiàng)數(shù)據(jù)庫服務(wù)開展供應(yīng)鏈攻擊,從而實(shí)現(xiàn)對(duì)阿里巴巴數(shù)據(jù)庫服務(wù)的遠(yuǎn)程命令執(zhí)行(RCE)攻擊��?����!?/span>
這組漏洞被命名為BrokenSesame����,在2022年12月被上報(bào)給阿里巴巴��,阿里云于2023年4月12日部署了緩解措施���。尚無證據(jù)表明這些漏洞曾遭到野外利用�。
簡而言之��,此次發(fā)現(xiàn)的漏洞分別為AnalyticDB權(quán)限提升漏洞和ApsaraDB RDS遠(yuǎn)程代碼執(zhí)行漏洞���,能夠在容器內(nèi)將權(quán)限提升為root��,逃逸至底層Kubernetes節(jié)點(diǎn)���,最終實(shí)現(xiàn)對(duì)API服務(wù)器的未授權(quán)訪問�����。
利用這條利用鏈�����,惡意黑客能夠從API服務(wù)器中檢索到與容器注冊(cè)表相關(guān)的憑證����,推送惡意鏡像以控制共享節(jié)點(diǎn)上屬于其他租戶的客戶數(shù)據(jù)庫�。
Wiz公司研究員Ronen SHustin與Shir Tamari表示,“用于拉取鏡像的憑證未被正確限定范圍且允許推送權(quán)限����,這為供應(yīng)鏈攻擊埋下了隱患?!?/span>
這已經(jīng)不是第一次在云服務(wù)中發(fā)現(xiàn)PostgreSQL漏洞。去年���,Wiz公司曾在微軟Azure Database for PostgreSQL Flexible Server和IBM Cloud Databases for PostgreSQL中發(fā)現(xiàn)過類似的問題���。
Palo Alto Networks安全研究團(tuán)隊(duì)Unit 42在云威脅報(bào)告中表示,“惡意黑客越來越善于利用云上的常見安全問題”,包括錯(cuò)誤配置��、憑證強(qiáng)度過低�����、缺乏身份驗(yàn)證���、未修復(fù)漏洞和惡意開源軟件包等。
“76%的組織未能對(duì)控制臺(tái)用戶實(shí)施多因素身份驗(yàn)證(MFA)��,58%的組織未能對(duì)具有root/admin權(quán)限的用戶實(shí)施多因素身份驗(yàn)證�。”
來源:安全內(nèi)參
