阿里云數(shù)據(jù)庫曝出兩個嚴(yán)重漏洞���,全球公有云漏洞層出不窮
2023年04月22日
4月21日消息���,阿里云數(shù)據(jù)庫ApsaraDB RDS for PostgreSQL 和 AnalyticDB for PostgreSQL曝出一組兩個嚴(yán)重漏洞,可用于突破租戶隔離保護(hù)機(jī)制��,訪問其他客戶的敏感數(shù)據(jù)。
美國云安全公司W(wǎng)iz發(fā)布報(bào)告稱�����,“這些漏洞可能允許對阿里云客戶的PostgreSQL數(shù)據(jù)庫進(jìn)行未經(jīng)授權(quán)訪問�,并對阿里巴巴的這兩項(xiàng)數(shù)據(jù)庫服務(wù)開展供應(yīng)鏈攻擊,從而實(shí)現(xiàn)對阿里巴巴數(shù)據(jù)庫服務(wù)的遠(yuǎn)程命令執(zhí)行(RCE)攻擊����。”
這組漏洞被命名為BrokenSesame��,在2022年12月被上報(bào)給阿里巴巴��,阿里云于2023年4月12日部署了緩解措施���。尚無證據(jù)表明這些漏洞曾遭到野外利用����。
簡而言之��,此次發(fā)現(xiàn)的漏洞分別為AnalyticDB權(quán)限提升漏洞和ApsaraDB RDS遠(yuǎn)程代碼執(zhí)行漏洞�����,能夠在容器內(nèi)將權(quán)限提升為root,逃逸至底層Kubernetes節(jié)點(diǎn)�,最終實(shí)現(xiàn)對API服務(wù)器的未授權(quán)訪問。
利用這條利用鏈���,惡意黑客能夠從API服務(wù)器中檢索到與容器注冊表相關(guān)的憑證�����,推送惡意鏡像以控制共享節(jié)點(diǎn)上屬于其他租戶的客戶數(shù)據(jù)庫��。
Wiz公司研究員Ronen SHustin與Shir Tamari表示��,“用于拉取鏡像的憑證未被正確限定范圍且允許推送權(quán)限�,這為供應(yīng)鏈攻擊埋下了隱患�����?����!?/span>
這已經(jīng)不是第一次在云服務(wù)中發(fā)現(xiàn)PostgreSQL漏洞�。去年�����,Wiz公司曾在微軟Azure Database for PostgreSQL Flexible Server和IBM Cloud Databases for PostgreSQL中發(fā)現(xiàn)過類似的問題。
Palo Alto Networks安全研究團(tuán)隊(duì)Unit 42在云威脅報(bào)告中表示�����,“惡意黑客越來越善于利用云上的常見安全問題”�,包括錯誤配置、憑證強(qiáng)度過低�����、缺乏身份驗(yàn)證���、未修復(fù)漏洞和惡意開源軟件包等�。
“76%的組織未能對控制臺用戶實(shí)施多因素身份驗(yàn)證(MFA)��,58%的組織未能對具有root/admin權(quán)限的用戶實(shí)施多因素身份驗(yàn)證����。”
來源:安全內(nèi)參
