現已修複!阿裡(lǐ)雲SQL 數據庫曝兩個關鍵漏洞
發布時間:
2023-04-20
來(lái)源:
現近日(rì),The Hacker News網站(zhàn)披露,阿裡(lǐ)雲ApsaraDB RDS for PostgreSQL和AnalyticDB for PostgreQL數據庫爆出兩個關鍵漏洞。潛在攻擊者能夠利用這兩個漏洞破壞租戶隔離(lí)保護,訪問(wèn)其它客戶的敏感數據。
雲安全公司Wiz在與The Hacker News分(fēn)享的一份報告中表示,這兩個漏洞可(kě)能允許未經授權的攻擊者訪問(wèn)阿裡(lǐ)雲客戶的PostgreSQL數據庫,并對兩個數據庫服務進行供應鏈攻擊,從(cóng)而導緻對阿裡(lǐ)巴巴數據庫服務的RCE。
值得(de)一提的是,早在2022年(nián)12月阿裡(lǐ)雲就(jiù)收到了漏洞報告,并于2023年(nián)4月12日(rì)部署了緩解措施,此外沒有證據表明這些漏洞已經被野外被利用了。
據悉,這不是第一次在雲服務中發現PostgreSQL漏洞,其它雲服務廠(chǎng)商與曾出現過。去(qù)年(nián),Wiz在其他(tā)多家頭部雲廠(chǎng)商中也發現了類似問(wèn)題。
攻擊者利用漏洞可(kě)訪問(wèn)其它用戶數據
從(cóng)Wiz研究人(rén)員(yuán)透漏出的信息來(lái)看(kàn),一旦潛在攻擊者成功利用AnalyticDB的權限升級漏洞和ApsaraDB RDS的遠(yuǎn)程代碼執行漏洞後,便可(kě)在容器中提升權限至root,“逃到”底層的Kubernetes節點,并最終獲得(de)對API服務器的未授權訪問(wèn)。
不僅如(rú)此,獲得(de)上述權限後,攻擊者可(kě)以從(cóng)API服務器中檢索與容器注冊表相(xiàng)關的憑據,并推送惡意映像,以控制屬于共享節點上其它租戶的客戶數據庫。
據悉,這不是第一次在雲服務中發現PostgreSQL漏洞,其它雲服務廠(chǎng)商與曾出現過。去(qù)年(nián),Wiz在Azure Database for PostgreSQL Flexible Server(ExtraReplica)和IBM Cloud Databases for PostgreQL(Hell’s Keychain)中發現了類似問(wèn)題。
近幾年(nián),網絡犯罪分(fēn)子頻頻盯上雲服務,從(cóng)Palo Alto Networks Unit 42發布的《雲威脅報告》的内容來(lái)看(kàn),威脅攻擊者目前非常善于利用錯誤配置、弱憑證、缺乏認證、未修補的漏洞和惡意的開放(fàng)源碼軟件(jiàn)(OSS)包等雲服務常見(jiàn)問(wèn)題。
然而在如(rú)此危險的網絡環境下,76%的組織沒有對控制台用戶執行MFA多因素認證,58%的組織沒有對根/管理(lǐ)員(yuán)用戶執行MFA。
此文章(zhāng)來(lái)源于 FreeBuf.COM 如(rú)有侵權請(qǐng)聯系立即删除
|
相(xiàng)關資訊
