【安全资讯】阿里云数据库曝出两个严重漏洞,安全团队要警惕此类风险!
2023-4-21 20:30:33
Author: 嘉诚安全(查看原文)
阅读量:36
收藏
美国云安全公司Wiz发现一组阿里云数据库漏洞,可用于突破租户隔离保护机制,访问其他客户的敏感数据。
阿里云数据库ApsaraDB RDS for PostgreSQL 和 AnalyticDB for PostgreSQL曝出一组两个严重漏洞,可用于突破租户隔离保护机制,访问其他客户的敏感数据。美国云安全公司Wiz在与《黑客新闻》分享的一份新报告中表示:“这些漏洞可能允许未经授权访问阿里云客户的PostgreSQL数据库,并能够对阿里巴巴的两个数据库服务进行供应链攻击,从而导致对阿里巴巴数据库服务的RCE。”值得一提的是,早在 2022 年 12 月阿里云就收到了漏洞报告,并于 2023 年 4 月 12 日部署了缓解措施,此外没有证据表明这些漏洞已经在野外被利用了。据悉,这不是第一次在云服务中发现 PostgreSQL 漏洞,其它云服务厂商与曾出现过。去年,Wiz在Azure Database for PostgreSQL Flexible Server(ExtraReplica)和IBM Cloud Databases for PostgreQL(Hell’s Keychain)中发现了类似的问题。简而言之,此次发现的漏洞分别为AnalyticDB权限提升漏洞和ApsaraDB RDS远程代码执行漏洞,能够在容器内将权限提升为root,逃逸至底层Kubernetes节点,最终实现对API服务器的未授权访问。利用这条利用链,恶意黑客能够从API服务器中检索到与容器注册表相关的凭证,推送恶意镜像以控制共享节点上属于其他租户的客户数据库。Wiz 研究人员 Ronen Shustin 和 Shir Tamari 说:“用于拉取图像的凭据没有正确限定范围并允许推送权限,为供应链攻击奠定了基础。”在 Ronen Shustin 和 Shir Tamari 发表的一篇博客中,他们提出了对安全团队的建议,以防止类似的风险。“利用容器级别的一些不安全行为,我们能够逃逸到 K8s 节点并在 K8s 集群中获得高权限。这反过来又允许我们访问其他租户的数据库,从而可能危及服务的所有用户。”“一旦我们破坏了 K8s 节点,我们检查了用于从阿里云私有容器注册表中提取图像的已配置凭据的权限。由于严重的错误配置,凭据还具有对注册表的写入权限。这意味着我们有能力覆盖阿里云使用的中央镜像仓库中的容器镜像,并有可能对阿里云数据库服务进行大规模的供应链攻击。 ”近几年,网络犯罪分子频频盯上云服务,从Palo Alto Networks安全研究团队Unit 42发布的《云威胁报告》的内容来看,威胁攻击者目前非常善于利用错误配置、弱凭证、缺乏认证、未修补的漏洞和恶意的开放源码软件(OSS)包等云服务常见问题。“76%的组织未能对控制台用户实施多因素身份验证(MFA),58%的组织未能对具有root/admin权限的用户实施多因素身份验证。”参考资料:
https://thehackernews.com/2023/04/two-critical-flaws-found-in-alibaba.html
https://www.wiz.io/blog
文章来源: http://mp.weixin.qq.com/s?__biz=MzU4NjY4MDAyNQ==&mid=2247491090&idx=1&sn=9b239dbcbcdf4d073d7ca3ee609d6624&chksm=fdf6cda4ca8144b203127e5a329d55917402f9240a691327c5fdf303bb94e3267481bd1ab908#rd
如有侵权请联系:admin#unsafe.sh