現已修復!阿里云SQL 數據庫曝兩個關鍵漏洞
發布時間:
2023-04-20
來源:
現近日,The Hacker News網站披露,阿里云ApsaraDB RDS for PostgreSQL和AnalyticDB for PostgreQL數據庫爆出兩個關鍵漏洞。潛在攻擊者能夠利用這兩個漏洞破壞租戶隔離保護,訪問其它客戶的敏感數據。
云安全公司Wiz在與The Hacker News分享的一份報告中表示,這兩個漏洞可能允許未經授權的攻擊者訪問阿里云客戶的PostgreSQL數據庫,并對兩個數據庫服務進行供應鏈攻擊,從而導致對阿里巴巴數據庫服務的RCE。
值得一提的是,早在2022年12月阿里云就收到了漏洞報告,并于2023年4月12日部署了緩解措施,此外沒有證據表明這些漏洞已經被野外被利用了。
據悉,這不是第一次在云服務中發現PostgreSQL漏洞,其它云服務廠商與曾出現過。去年,Wiz在其他多家頭部云廠商中也發現了類似問題。
攻擊者利用漏洞可訪問其它用戶數據
從Wiz研究人員透漏出的信息來看,一旦潛在攻擊者成功利用AnalyticDB的權限升級漏洞和ApsaraDB RDS的遠程代碼執行漏洞后,便可在容器中提升權限至root,“逃到”底層的Kubernetes節點,并最終獲得對API服務器的未授權訪問。
不僅如此,獲得上述權限后,攻擊者可以從API服務器中檢索與容器注冊表相關的憑據,并推送惡意映像,以控制屬于共享節點上其它租戶的客戶數據庫。
據悉,這不是第一次在云服務中發現PostgreSQL漏洞,其它云服務廠商與曾出現過。去年,Wiz在Azure Database for PostgreSQL Flexible Server(ExtraReplica)和IBM Cloud Databases for PostgreQL(Hell’s Keychain)中發現了類似問題。
近幾年,網絡犯罪分子頻頻盯上云服務,從Palo Alto Networks Unit 42發布的《云威脅報告》的內容來看,威脅攻擊者目前非常善于利用錯誤配置、弱憑證、缺乏認證、未修補的漏洞和惡意的開放源碼軟件(OSS)包等云服務常見問題。
然而在如此危險的網絡環境下,76%的組織沒有對控制臺用戶執行MFA多因素認證,58%的組織沒有對根/管理員用戶執行MFA。
此文章來源于 FreeBuf.COM 如有侵權請聯系立即刪除
|
相關資訊
