2023年04月22日
4月21日消息,阿里云數據庫ApsaraDB RDS for PostgreSQL 和 AnalyticDB for PostgreSQL曝出一組兩個嚴重漏洞,可用于突破租戶隔離保護機制,訪問其他客戶的敏感數據。
美國云安全公司Wiz發布報告稱,“這些漏洞可能允許對阿里云客戶的PostgreSQL數據庫進行未經授權訪問,并對阿里巴巴的這兩項數據庫服務開展供應鏈攻擊,從而實現對阿里巴巴數據庫服務的遠程命令執行(RCE)攻擊。”
這組漏洞被命名為BrokenSesame,在2022年12月被上報給阿里巴巴,阿里云于2023年4月12日部署了緩解措施。尚無證據表明這些漏洞曾遭到野外利用。
簡而言之,此次發現的漏洞分別為AnalyticDB權限提升漏洞和ApsaraDB RDS遠程代碼執行漏洞,能夠在容器內將權限提升為root,逃逸至底層Kubernetes節點,最終實現對API服務器的未授權訪問。
利用這條利用鏈,惡意黑客能夠從API服務器中檢索到與容器注冊表相關的憑證,推送惡意鏡像以控制共享節點上屬于其他租戶的客戶數據庫。
Wiz公司研究員Ronen SHustin與Shir Tamari表示,“用于拉取鏡像的憑證未被正確限定范圍且允許推送權限,這為供應鏈攻擊埋下了隱患。”
這已經不是第一次在云服務中發現PostgreSQL漏洞。去年,Wiz公司曾在微軟Azure Database for PostgreSQL Flexible Server和IBM Cloud Databases for PostgreSQL中發現過類似的問題。
Palo Alto Networks安全研究團隊Unit 42在云威脅報告中表示,“惡意黑客越來越善于利用云上的常見安全問題”,包括錯誤配置、憑證強度過低、缺乏身份驗證、未修復漏洞和惡意開源軟件包等。
“76%的組織未能對控制臺用戶實施多因素身份驗證(MFA),58%的組織未能對具有root/admin權限的用戶實施多因素身份驗證。”
來源:安全內參