2023年4月20日消息,阿里云的 ApsaraDB RDS for PostgreSQL 和 AnalyticDB for PostgreSQL 中披露了一系列的两个严重漏洞,可被利用来破坏租户隔离保护并访问属于其他客户的敏感数据。
“这些漏洞可能允许未经授权访问阿里云客户的 PostgreSQL 数据库,并能够对阿里巴巴的两个数据库服务执行供应链攻击,从而导致对阿里巴巴数据库服务的 RCE,”云安全公司 Wiz 在一份新报告中表示。
在公司于 2023 年 4 月 12 日部署了缓解措施之后,这些被称为 BrokenSesame 的问题于 2022 年 12 月报告给了阿里云。没有证据表明这些弱点是在野外被利用的。
简而言之,这些漏洞——AnalyticDB 中的提权漏洞和 ApsaraDB RDS 中的远程代码执行漏洞——使得在容器内将权限提升到 root、逃逸到底层 Kubernetes 节点并最终获得对 API 的未授权访问成为可能服务器。
利用此功能,攻击者可以从 API 服务器检索与容器注册表关联的凭据,并推送恶意图像以控制共享节点上属于其他租户的客户数据库。
Wiz 研究人员 Ronen Shustin 和 Shir Tamari 说:“用于拉取图像的凭据没有正确限定范围并允许推送权限,为供应链攻击奠定了基础。”
这不是第一次在云服务中发现 PostgreSQL 漏洞。去年,Wiz 在 Azure Database for PostgreSQL Flexible Server ( ExtraReplica ) 和 IBM Cloud Databases for PostgreSQL ( Hell's Keychain ) 中发现了类似的问题。
帕洛阿尔托网络第 42 单元在其云威胁报告中披露了这一发现,“威胁行为者已经变得善于利用云中常见的日常问题”,包括错误配置、薄弱的凭据、缺乏身份验证、未修补的漏洞和恶意开放源软件 (OSS) 包。
“76% 的组织不对控制台用户执行 MFA [多因素身份验证],而 58% 的组织不对 root/admin 用户执行 MFA,”这家网络安全公司表示。
文章来源:https://thehackernews.com/2023/04/two-critical-flaws-found-in-alibaba.html
