Microsoft, bir güvenlik danışma belgesinde PostgreSQL Esnek Sunucu için Azure Veritabanı’ndaki birden çok kritik güvenlik açığının yakın zamanda keşfedildiğini ve düzeltildiğini duyurdu.
tarafından bildirildiği gibi BleeBilgisayar, güvenlik açıkları kötü niyetli kullanıcıların ayrıcalıkları yükseltmesine ve müşteri veritabanlarına erişmesine izin verebilirdi. Neyse ki, istismar, düzeltme yayınlanmadan önce Azure müşterilerine saldırmak için kullanılmadı ve hiçbir veri alınmadı, Microsoft onayladı.
Yamanın bir aydan daha uzun bir süre önce dağıtıldığı göz önüne alındığında, Azure müşterilerinin uç noktalarını korumak için ek bir adım atması gerekmez.
Dağıtılan düzeltmeler
Esnek Sunucu ile PostgreSQL için Azure Veritabanı kullanıcıları, veritabanları üzerinde daha fazla kontrole sahip olur. Ancak bu durumda, Esnek Sunucu saldırı için bir açıklık yaratmıştı.
Microsoft, “Bir çoğaltma kullanıcısı için Esnek Sunucu kimlik doğrulama işleminde yükseltilmiş bir izin hatasından yararlanarak, kötü niyetli bir kullanıcı, diğer müşterilerin veritabanlarına erişim elde etmek için kimlik doğrulamasını atlamak için uygun olmayan şekilde sabitlenmiş bir normal ifadeden yararlanabilir” dedi.
“Bu, 48 saat içinde (13 Ocak 2022’de) hafifletildi. Özel erişim ağı seçeneğini kullanan müşteriler bu güvenlik açığına maruz kalmadı. Postgres’in Tek Sunucu teklifi etkilenmedi.”
Şubat ayının sonunda, tüm düzeltmeler dağıtıldı, Microsoft açıklamaya devam etti.
Yine de şirket, özel ve güvenli ağ iletişimi sağladıkları için PostgreSQL esnek sunucularını Azure sanal ağlarına (VNet) yerleştirmenin akıllıca olacağını söyledi.
Şirket, “Tehlikeyi daha da en aza indirmek için, müşterilerin Esnek Sunucu örneklerini kurarken özel ağ erişimini etkinleştirmelerini öneriyoruz” dedi.
Hatayı ilk keşfeden bulut güvenlik şirketi Wiz Research, buna ExtraReplica adını verdi ve bulut güvenlik açıklarını takip etmenin bazı zorlukları olduğunu ekledi.
“Diğer bulut güvenlik açıklarında olduğu gibi, bu sorun bir CVE tanımlayıcısı almadı (yazılım güvenlik açıklarından farklı olarak). Herhangi bir veritabanında kaydedilmiyor veya belgelenmiyor” dedi. “Böyle bir veritabanının olmaması, müşterilerin bulut güvenlik açıklarını izleme, takip etme ve bunlara yanıt verme yeteneğini bozar.”
Aracılığıyla BleeBilgisayar