Se ha revelado una cadena de dos fallas críticas en ApsaraDB RDS para PostgreSQL y AnalyticDB para PostgreSQL de Alibaba Cloud que podrían explotarse para violar las protecciones de aislamiento de inquilinos y acceder a datos confidenciales que pertenecen a otros clientes.
«Las vulnerabilidades permitieron potencialmente el acceso no autorizado a las bases de datos PostgreSQL de los clientes de Alibaba Cloud y la capacidad de realizar un ataque a la cadena de suministro en ambos servicios de bases de datos de Alibaba, lo que llevó a un RCE en los servicios de bases de datos de Alibaba», dijo la empresa de seguridad en la nube Wiz. dicho en un nuevo informe compartido con The Hacker News.
El asuntosapodado Sésamo rotose informaron a Alibaba Cloud en diciembre de 2022, luego de que la empresa implementara mitigaciones el 12 de abril de 2023. No hay evidencia que sugiera que las debilidades se explotaron en la naturaleza.
En pocas palabras, las vulnerabilidades (una falla de escalada de privilegios en AnalyticDB y una falla de ejecución remota de código en ApsaraDB RDS) hicieron posible elevar los privilegios para rootear dentro del contenedor, escapar al nodo subyacente de Kubernetes y, en última instancia, obtener acceso no autorizado a la API. servidor.
Armado con esta capacidad, un atacante podría recuperar las credenciales asociadas con el registro del contenedor desde el servidor API y enviar una imagen maliciosa para obtener el control de las bases de datos de los clientes que pertenecen a otros inquilinos en el nodo compartido.
«Las credenciales utilizadas para extraer imágenes no tenían el alcance correcto y permitían los permisos de inserción, lo que sentó las bases para un ataque a la cadena de suministro», dijeron los investigadores de Wiz, Ronen Shustin y Shir Tamari.
Esta no es la primera vez que se identifican vulnerabilidades de PostgreSQL en servicios en la nube. El año pasado, Wiz descubrió problemas similares en Azure Database for PostgreSQL Flexible Server (ExtraReplica) e IBM Cloud Databases for PostgreSQL (Hell’s Keychain).
Defiéndase con el engaño: avanzando en la seguridad de confianza cero
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Los hallazgos llegan como la Unidad 42 de Palo Alto Networks, en su Informe de amenazas en la nubereveló que «los actores de amenazas se han vuelto expertos en explotar problemas comunes y cotidianos en la nube», incluidas configuraciones incorrectas, credenciales débiles, falta de autenticación, vulnerabilidades sin parches y paquetes maliciosos de software de código abierto (OSS).
«76% de las organizaciones no aplican MFA [multi-factor authentication] para los usuarios de consolas, mientras que el 58 % de las organizaciones no aplican la MFA para los usuarios raíz/administradores», dijo la firma de seguridad cibernética.