IBM, PostgreSQL için Bulut Veritabanlarını (ICD) etkileyen ve dahili havuzları kurcalamak ve yetkisiz kod çalıştırmak için potansiyel olarak istismar edilebilecek yüksek önem düzeyine sahip bir güvenlik açığını düzeltti.
Ayrıcalık yükseltme kusuru (CVSS puanı: 8.8), “Cehennem Anahtarlığı” bulut güvenlik firması Wiz tarafından, “bir bulut sağlayıcısının altyapısını etkileyen türünün ilk örneği tedarik zinciri saldırı vektörü” olarak tanımlandı.
Hatanın başarılı bir şekilde kullanılması, kötü niyetli bir aktörün müşterilerin ortamlarında uzaktan kod yürütmesine ve hatta PostgreSQL veritabanında depolanan verileri okumasına veya değiştirmesine olanak sağlayabilir.
Wiz araştırmacıları Ronen Shustin ve Shir Tamari, “Güvenlik açığı, açığa çıkan üç sır zincirinden (Kubernetes hizmet hesabı belirteci, özel konteyner kayıt parolası, CI/CD sunucusu kimlik bilgileri) ve dahili yapı sunucularına aşırı izin veren ağ erişiminden oluşuyor.” söz konusu.
Hell’s Keychain, ICD’de bir saldırgan süper kullanıcı (“ibm” olarak da bilinir) ayrıcalıkları veren ve daha sonra veritabanı eşgörünümünü barındıran temeldeki sanal makinede rasgele komutları yürütmek için kullanılan bir SQL enjeksiyon kusuruyla başlar.
Bu yetenek, bir Kubernetes API belirteç dosyasına erişmek için silahlandırılarak, PostgreSQL için ICD ile ilgili görüntüleri depolayan IBM’in özel kapsayıcı kayıt defterinden kapsayıcı görüntülerinin çekilmesini ve bu görüntülerin ek sırlar için taranmasını içeren daha geniş kullanım sonrası çabalara olanak tanır.
Araştırmacılar, “Konteyner görüntüleri tipik olarak şirketin fikri mülkiyeti olan özel kaynak kodunu ve ikili yapıları içerir” dedi. “Ayrıca, bir saldırganın ek güvenlik açıkları bulmak ve hizmetin iç ortamında yanal hareket gerçekleştirmek için yararlanabileceği bilgileri de içerebilirler.”
Wiz, görüntü bildirim dosyalarından dahili yapı deposunu ve FTP kimlik bilgilerini çıkarabildiğini ve güvenilir havuzlara ve IBM derleme sunucularına sınırsız okuma-yazma erişimine etkili bir şekilde izin verdiğini söyledi.
Bu tür bir saldırı, saldırganın daha sonra her veritabanı örneğine yüklenecek olan PostgreSQL görüntüsünün oluşturma sürecinde kullanılan rasgele dosyaların üzerine yazmasını sağladığından, ciddi sonuçlar doğurabilir.
Amerikan teknoloji devi, bir bağımsız danışmanlıktüm IBM Cloud Databases for PostgreSQL eşgörünümlerinin hatadan potansiyel olarak etkilendiğini söyledi, ancak kötü niyetli faaliyete dair hiçbir kanıt bulamadığını kaydetti.
Ayrıca, düzeltmelerin müşteri örneklerine otomatik olarak uygulandığını ve başka bir işlem yapılması gerekmediğini belirtti. Hafifletici önlemler 22 Ağustos ve 3 Eylül 2022’de kullanıma sunuldu.
Araştırmacılar, “Bu güvenlik açıkları, platformda bir tedarik zinciri saldırısıyla sonuçlanan kapsamlı bir istismar zincirinin parçası olarak kötü niyetli bir aktör tarafından kullanılmış olabilir” dedi.
Bu tür tehditleri azaltmak için kuruluşların bulut ortamlarını dağınık kimlik bilgileri açısından izlemesi, üretim sunucularına erişimi engellemek için ağ denetimlerini uygulaması ve kapsayıcı kayıt defteri kazımasına karşı koruma sağlaması önerilir.
