(資料圖)
現(xiàn)近日,The Hacker News 網(wǎng)站披露����,阿里云 ApsaraDB RDS for PostgreSQL 和 AnalyticDB for PostgreQL 數(shù)據(jù)庫(kù)爆出兩個(gè)關(guān)鍵漏洞。潛在攻擊者能夠利用這兩個(gè)漏洞破壞租戶隔離保護(hù)�,訪問(wèn)其它客戶的敏感數(shù)據(jù)。
云安全公司 Wiz 在與 The Hacker News 分享的一份報(bào)告中表示����,這兩個(gè)漏洞可能允許未經(jīng)授權(quán)的攻擊者訪問(wèn)阿里云客戶的 PostgreSQL 數(shù)據(jù)庫(kù)��,并對(duì)兩個(gè)數(shù)據(jù)庫(kù)服務(wù)進(jìn)行供應(yīng)鏈攻擊���,從而導(dǎo)致對(duì)阿里巴巴數(shù)據(jù)庫(kù)服務(wù)的 RCE�����。
值得一提的是����,早在 2022 年 12 月阿里云就收到了漏洞報(bào)告,并于 2023 年 4 月 12 日部署了緩解措施��,此外沒有證據(jù)表明這些漏洞已經(jīng)被野外被利用了�����。
據(jù)悉��,這不是第一次在云服務(wù)中發(fā)現(xiàn) PostgreSQL 漏洞��,其它云服務(wù)廠商與曾出現(xiàn)過(guò)��。去年��,Wiz 在其他多家頭部云廠商中也發(fā)現(xiàn)了類似問(wèn)題�。
攻擊者利用漏洞可訪問(wèn)其它用戶數(shù)據(jù)
從 Wiz 研究人員透漏出的信息來(lái)看,一旦潛在攻擊者成功利用 AnalyticDB 的權(quán)限升級(jí)漏洞和 ApsaraDB RDS 的遠(yuǎn)程代碼執(zhí)行漏洞后�����,便可在容器中提升權(quán)限至 root���,“逃到”底層的 Kubernetes 節(jié)點(diǎn)�,并最終獲得對(duì) API 服務(wù)器的未授權(quán)訪問(wèn)。
不僅如此����,獲得上述權(quán)限后,攻擊者可以從 API 服務(wù)器中檢索與容器注冊(cè)表相關(guān)的憑據(jù)�����,并推送惡意映像�,以控制屬于共享節(jié)點(diǎn)上其它租戶的客戶數(shù)據(jù)庫(kù)。
據(jù)悉����,這不是第一次在云服務(wù)中發(fā)現(xiàn) PostgreSQL 漏洞,其它云服務(wù)廠商與曾出現(xiàn)過(guò)�。去年,Wiz 在 Azure Database for PostgreSQL Flexible Server(ExtraReplica)和 IBM Cloud Databases for PostgreQL(Hell’s Keychain)中發(fā)現(xiàn)了類似問(wèn)題��。
近幾年�����,網(wǎng)絡(luò)犯罪分子頻頻盯上云服務(wù)�,從 Palo Alto Networks Unit 42 發(fā)布的《云威脅報(bào)告》的內(nèi)容來(lái)看�����,威脅攻擊者目前非常善于利用錯(cuò)誤配置、弱憑證���、缺乏認(rèn)證����、未修補(bǔ)的漏洞和惡意的開放源碼軟件(OSS)包等云服務(wù)常見問(wèn)題���。
然而在如此危險(xiǎn)的網(wǎng)絡(luò)環(huán)境下��,76% 的組織沒有對(duì)控制臺(tái)用戶執(zhí)行 MFA 多因素認(rèn)證���,58% 的組織沒有對(duì)根/管理員用戶執(zhí)行 MFA。
