现已修复!阿里云SQL 数据库曝两个关键漏洞
发布时间:
来源:
现近日,The Hacker News网站披露,阿里云ApsaraDB RDS for PostgreSQL和AnalyticDB for PostgreQL数据库爆出两个关键漏洞。潜在攻击者能够利用这两个漏洞破坏租户隔离保护,访问其它客户的敏感数据。
云安全公司Wiz在与The Hacker News分享的一份报告中表示。这两个漏洞可能允许未经授权的攻击者访问阿里云客户的PostgreSQL数据库,从而导致对阿里巴巴数据库服务的RCE,并对两个数据库服务进行供应链攻击。
值得一提的是。此外没有证据表明这些漏洞已经被野外被利用了,并于2023年4月12日部署了缓解措施,早在2022年12月阿里云就收到了漏洞报告。
据悉。其它云服务厂商与曾出现过,这不是第一次在云服务中发现PostgreSQL漏洞。去年,Wiz在其他多家头部云厂商中也发现了类似问题。
攻击者利用漏洞可访问其它用户数据
从Wiz研究人员透漏出的信息来看。便可在容器中提升权限至root,一旦潜在攻击者成功利用AnalyticDB的权限升级漏洞和ApsaraDB RDS的远程代码执行漏洞后,“逃到”底层的Kubernetes节点,并最终获得对API服务器的未授权访问。
不仅如此、并推送恶意映像,获得上述权限后,以控制属于共享节点上其它租户的客户数据库,攻击者可以从API服务器中检索与容器注册表相关的凭据。
据悉。其它云服务厂商与曾出现过,这不是第一次在云服务中发现PostgreSQL漏洞。去年,Wiz在Azure Database for PostgreSQL Flexible Server(ExtraReplica)和IBM Cloud Databases for PostgreQL(Hell’s Keychain)中发现了类似问题。
近几年。网络犯罪分子频频盯上云服务,从Palo Alto Networks Unit 42发布的《云威胁报告》的内容来看,威胁攻击者目前非常善于利用错误配置、弱凭证、缺乏认证、未修补的漏洞和恶意的开放源码软件(OSS)包等云服务常见问题。
然而在如此危险的网络环境下,76%的组织没有对控制台用户执行MFA多因素认证,58%的组织没有对根/管理员用户执行MFA。
此文章来源于 FreeBuf.COM 如有侵权请联系立即删除
|
相关资讯
