IBM 云數(shù)據(jù)庫 PostgreSQL 出現(xiàn)安全漏洞

發(fā)布時(shí)間 2022-12-07

The Hacker News 網(wǎng)站披露,IBM 近日修復(fù)一個(gè)影響其 PostgreSQL 云數(shù)據(jù)庫(ICD)產(chǎn)品的高嚴(yán)重性安全漏洞(CVSS分?jǐn)?shù):8.8),該漏洞可能被利用來篡改內(nèi)部存儲(chǔ)庫并運(yùn)行未經(jīng)授權(quán)的代碼。


云安全公司 Wiz 將該漏洞稱為“Hell's Keychain ”,一旦惡意攻擊者成功利用該漏洞可能會(huì)在客戶環(huán)境中遠(yuǎn)程執(zhí)行代碼,甚至讀取或修改存儲(chǔ)在 PostgreSQL 數(shù)據(jù)庫中的數(shù)據(jù)。

Wiz 研究人員 Ronen Shustin 和 Shir Tamari 表示:該漏洞由三個(gè)暴露的秘密 Kubernetes 服務(wù)帳戶令牌、私有容器注冊(cè)密碼、CI/CD 服務(wù)器憑據(jù)組成,再加上對(duì)內(nèi)部構(gòu)建服務(wù)器的過度許可網(wǎng)絡(luò)訪問。Hell's Keychain 始于 ICD 中的一個(gè) SQL 注入漏洞,該漏洞可能授予攻擊者超級(jí)用戶(又稱 "ibm")權(quán)限,然后允許其在托管數(shù)據(jù)庫實(shí)例的底層虛擬機(jī)上執(zhí)行任意命令。

據(jù)悉,這個(gè)功能被武器化以期訪問 Kubernetes API 令牌文件,從而允許更廣泛的開發(fā)后工作,包括從 IBM 的私有容器注冊(cè)表中提取容器圖像,該注冊(cè)表存儲(chǔ)與用于PostgreSQL 的 ICD 相關(guān)的圖像,并掃描這些圖像以獲取其他機(jī)密。

研究人員強(qiáng)調(diào),容器圖像通常包含公司知識(shí)產(chǎn)權(quán)的專有源代碼和二進(jìn)制工件,此外,它們還可以包含攻擊者可以利用的信息,以發(fā)現(xiàn)其他漏洞并在服務(wù)的內(nèi)部環(huán)境中執(zhí)行橫向移動(dòng)。Wiz 表示,它能夠從圖像清單文件中提取內(nèi)部工件存儲(chǔ)庫和 FTP 憑證,有效地允許對(duì)受信任的存儲(chǔ)庫和 IBM 構(gòu)建服務(wù)器進(jìn)行不受限制的讀寫訪問。這種攻擊能夠覆蓋到 PostgreSQL 映像構(gòu)建過程中使用的任意文件,然后將這些文件安裝在每個(gè)數(shù)據(jù)庫實(shí)例上,因此可能會(huì)產(chǎn)生嚴(yán)重后果。

IBM 在一份獨(dú)立的咨詢報(bào)告中表示,所有用于 PostgreSQL 實(shí)例的 IBM 云數(shù)據(jù)庫都可能受到該 漏洞的影響,但目前還沒有發(fā)現(xiàn)惡意活動(dòng)的跡象,修補(bǔ)措施于 2022 年 8 月 22 日和 9 月 3 日推出,已自動(dòng)應(yīng)用于客戶實(shí)例,無需進(jìn)一步操作。

研究人員表示:作為廣泛攻擊鏈的一部分,這些漏洞可能被惡意攻擊者利用,最終導(dǎo)致對(duì)平臺(tái)的供應(yīng)鏈攻擊。 為了減輕此類威脅,建議組織監(jiān)控其云環(huán)境中分散的憑據(jù),強(qiáng)制實(shí)施網(wǎng)絡(luò)控制以防止訪問生產(chǎn)服務(wù)器,并防止容器注冊(cè)表損壞。