阿里云緊急修復兩個關鍵漏洞!

發(fā)布時間 2023-04-22

4月21日消息,阿里云數(shù)據(jù)庫ApsaraDB RDS for PostgreSQL 和 AnalyticDB for PostgreSQL曝出一組兩個嚴重漏洞,可用于突破租戶隔離保護機制,訪問其他客戶的敏感數(shù)據(jù)。

美國云安全公司W(wǎng)iz發(fā)布報告稱,“這些漏洞可能允許對阿里云客戶的PostgreSQL數(shù)據(jù)庫進行未經(jīng)授權訪問,并對阿里巴巴的這兩項數(shù)據(jù)庫服務開展供應鏈攻擊,從而實現(xiàn)對阿里巴巴數(shù)據(jù)庫服務的遠程命令執(zhí)行(RCE)攻擊?!?br/>
這組漏洞被命名為BrokenSesame,在2022年12月被上報給阿里巴巴,阿里云于2023年4月12日部署了緩解措施。尚無證據(jù)表明這些漏洞曾遭到野外利用。簡而言之,此次發(fā)現(xiàn)的漏洞分別為AnalyticDB權限提升漏洞和ApsaraDB RDS遠程代碼執(zhí)行漏洞,能夠在容器內將權限提升為root,逃逸至底層Kubernetes節(jié)點,最終實現(xiàn)對API服務器的未授權訪問。利用這條利用鏈,惡意黑客能夠從API服務器中檢索到與容器注冊表相關的憑證,推送惡意鏡像以控制共享節(jié)點上屬于其他租戶的客戶數(shù)據(jù)庫。


Wiz公司研究員Ronen SHustin與Shir Tamari表示,“用于拉取鏡像的憑證未被正確限定范圍且允許推送權限,這為供應鏈攻擊埋下了隱患?!?br/>
這已經(jīng)不是第一次在云服務中發(fā)現(xiàn)PostgreSQL漏洞。去年,Wiz公司曾在微軟Azure Database for PostgreSQL Flexible Server和IBM Cloud Databases for PostgreSQL中發(fā)現(xiàn)過類似的問題。Palo Alto Networks安全研究團隊Unit 42在云威脅報告中表示,“惡意黑客越來越善于利用云上的常見安全問題”,包括錯誤配置、憑證強度過低、缺乏身份驗證、未修復漏洞和惡意開源軟件包等。

“76%的組織未能對控制臺用戶實施多因素身份驗證(MFA),58%的組織未能對具有root/admin權限的用戶實施多因素身份驗證?!?/span>