Ngày 20 tháng 4 năm 2023Ravie LakshmananBảo mật / Lỗ hổng bảo mật đám mây
Một chuỗi gồm hai lỗ hổng nghiêm trọng đã được tiết lộ trong ApsaraDB RDS cho PostgreSQL và AnalyticDB cho PostgreSQL của Alibaba Cloud. Các lỗ hổng này có thể bị khai thác để vi phạm các biện pháp bảo vệ cách ly đối tượng thuê và truy cập dữ liệu nhạy cảm của các khách hàng khác.
“Các lỗ hổng có khả năng cho phép truy cập trái phép vào cơ sở dữ liệu PostgreSQL của khách hàng Alibaba Cloud và khả năng thực hiện một cuộc tấn công chuỗi cung ứng trên cả hai dịch vụ cơ sở dữ liệu của Alibaba, dẫn đến RCE trên các dịch vụ cơ sở dữ liệu của Alibaba”, công ty bảo mật đám mây Wiz cho biết trong một báo cáo mới được chia sẻ với Tin tặc.
Các vấn đề, mệnh danh bị hỏngvừngđã được báo cáo cho Alibaba Cloud vào tháng 12 năm 2022, sau khi các biện pháp giảm thiểu được công ty triển khai vào ngày 12 tháng 4 năm 2023. Không có bằng chứng nào cho thấy các điểm yếu đã bị khai thác ngoài thực tế.
Tóm lại, các lỗ hổng – lỗ hổng leo thang đặc quyền trong AnalyticDB và lỗi thực thi mã từ xa trong ApsaraDB RDS – đã cho phép nâng cao đặc quyền để root trong vùng chứa, thoát khỏi nút Kubernetes bên dưới và cuối cùng là có được quyền truy cập trái phép vào API máy chủ.
Được trang bị khả năng này, kẻ tấn công có thể truy xuất thông tin xác thực được liên kết với sổ đăng ký bộ chứa từ máy chủ API và đẩy hình ảnh độc hại để giành quyền kiểm soát cơ sở dữ liệu khách hàng thuộc về những người thuê khác trên nút dùng chung.
Các nhà nghiên cứu Ronen Shustin và Shir Tamari của Wiz cho biết: “Thông tin đăng nhập được sử dụng để kéo hình ảnh không được xác định chính xác và cho phép đẩy quyền, tạo nền tảng cho một cuộc tấn công chuỗi cung ứng”.
Đây không phải là lần đầu tiên các lỗ hổng PostgreSQL được xác định trong các dịch vụ đám mây. Năm ngoái, Wiz đã phát hiện ra các sự cố tương tự trong Cơ sở dữ liệu Azure cho Máy chủ linh hoạt PostgreSQL (ExtraReplica) và Cơ sở dữ liệu đám mây của IBM cho PostgreSQL (Hell's Keychain).
Phát hiện này được đưa ra khi Đơn vị 42 của Palo Alto Networks, trong Báo cáo Đe dọa Đám mây, tiết lộ rằng “các tác nhân đe dọa đã trở nên lão luyện trong việc khai thác các vấn đề phổ biến, hàng ngày trên đám mây”, bao gồm cấu hình sai, thông tin xác thực yếu, thiếu xác thực, lỗ hổng chưa được vá và mã độc mở gói phần mềm nguồn (OSS).
“76% tổ chức không thực thi MFA [multi-factor authentication] đối với người dùng bảng điều khiển, trong khi 58% tổ chức không thực thi MFA đối với người dùng root/quản trị viên”, công ty an ninh mạng cho biết.
