<ins id="tnc6t"></ins>
<ins id="tnc6t"><address id="tnc6t"><output id="tnc6t"></output></address></ins>
  • <input id="tnc6t"></input>

      <button id="tnc6t"></button>

        1. 阿里云數據庫曝出兩個嚴重漏洞,全球公有云漏洞層出不窮

          2023年04月22日

          4月21日消息,阿里云數據庫ApsaraDB RDS for PostgreSQL 和 AnalyticDB for PostgreSQL曝出一組兩個嚴重漏洞,可用于突破租戶隔離保護機制,訪問其他客戶的敏感數據。

          美國云安全公司Wiz發布報告稱,“這些漏洞可能允許對阿里云客戶的PostgreSQL數據庫進行未經授權訪問,并對阿里巴巴的這兩項數據庫服務開展供應鏈攻擊,從而實現對阿里巴巴數據庫服務的遠程命令執行(RCE)攻擊?!?/span>

          這組漏洞被命名為BrokenSesame,在2022年12月被上報給阿里巴巴,阿里云于2023年4月12日部署了緩解措施。尚無證據表明這些漏洞曾遭到野外利用。

          簡而言之,此次發現的漏洞分別為AnalyticDB權限提升漏洞和ApsaraDB RDS遠程代碼執行漏洞,能夠在容器內將權限提升為root,逃逸至底層Kubernetes節點,最終實現對API服務器的未授權訪問。

          利用這條利用鏈,惡意黑客能夠從API服務器中檢索到與容器注冊表相關的憑證,推送惡意鏡像以控制共享節點上屬于其他租戶的客戶數據庫。


          Wiz公司研究員Ronen SHustin與Shir Tamari表示,“用于拉取鏡像的憑證未被正確限定范圍且允許推送權限,這為供應鏈攻擊埋下了隱患?!?/span>

          這已經不是第一次在云服務中發現PostgreSQL漏洞。去年,Wiz公司曾在微軟Azure Database for PostgreSQL Flexible Server和IBM Cloud Databases for PostgreSQL中發現過類似的問題。

          Palo Alto Networks安全研究團隊Unit 42在云威脅報告中表示,“惡意黑客越來越善于利用云上的常見安全問題”,包括錯誤配置、憑證強度過低、缺乏身份驗證、未修復漏洞和惡意開源軟件包等。

          “76%的組織未能對控制臺用戶實施多因素身份驗證(MFA),58%的組織未能對具有root/admin權限的用戶實施多因素身份驗證?!?/span>

          來源:安全內參


          江蘇國駿信息科技有限公司 蘇ICP備17037372號-2 電話:400-6776-989; 0516-83887908 郵箱:manager@jsgjxx.com          

          <ins id="tnc6t"></ins>
          <ins id="tnc6t"><address id="tnc6t"><output id="tnc6t"></output></address></ins>
        2. <input id="tnc6t"></input>

            <button id="tnc6t"></button>

              1. {关键词}