Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Dos fallas críticas encontradas en las bases de datos PostgreSQL de Alibaba Cloud
  • Tecnología

Dos fallas críticas encontradas en las bases de datos PostgreSQL de Alibaba Cloud

teknomers 20 de Nisan de 2023 (Last updated: 20 de Nisan de 2023) 3 minutes read
Dos fallas críticas encontradas en las bases de datos PostgreSQL


20 de abril de 2023Ravie LakshmanánSeguridad en la nube/vulnerabilidad

Se ha revelado una cadena de dos fallas críticas en ApsaraDB RDS para PostgreSQL y AnalyticDB para PostgreSQL de Alibaba Cloud que podrían explotarse para violar las protecciones de aislamiento de inquilinos y acceder a datos confidenciales que pertenecen a otros clientes.

“Las vulnerabilidades permitieron potencialmente el acceso no autorizado a las bases de datos PostgreSQL de los clientes de Alibaba Cloud y la capacidad de realizar un ataque a la cadena de suministro en ambos servicios de bases de datos de Alibaba, lo que llevó a un RCE en los servicios de bases de datos de Alibaba”, dijo la empresa de seguridad en la nube Wiz. dicho en un nuevo informe compartido con The Hacker News.

El asuntosapodado Sésamo rotose informaron a Alibaba Cloud en diciembre de 2022, luego de que la empresa implementara mitigaciones el 12 de abril de 2023. No hay evidencia que sugiera que las debilidades se explotaron en la naturaleza.

En pocas palabras, las vulnerabilidades (una falla de escalada de privilegios en AnalyticDB y una falla de ejecución remota de código en ApsaraDB RDS) hicieron posible elevar los privilegios para rootear dentro del contenedor, escapar al nodo subyacente de Kubernetes y, en última instancia, obtener acceso no autorizado a la API. servidor.

Armado con esta capacidad, un atacante podría recuperar las credenciales asociadas con el registro del contenedor desde el servidor API y enviar una imagen maliciosa para obtener el control de las bases de datos de los clientes que pertenecen a otros inquilinos en el nodo compartido.

Bases de datos PostgreSQL en la nube de Alibaba

“Las credenciales utilizadas para extraer imágenes no tenían el alcance correcto y permitían los permisos de inserción, lo que sentó las bases para un ataque a la cadena de suministro”, dijeron los investigadores de Wiz, Ronen Shustin y Shir Tamari.

Esta no es la primera vez que se identifican vulnerabilidades de PostgreSQL en servicios en la nube. El año pasado, Wiz descubrió problemas similares en Azure Database for PostgreSQL Flexible Server (ExtraReplica) e IBM Cloud Databases for PostgreSQL (Hell’s Keychain).

PRÓXIMO SEMINARIO WEB

Defiéndase con el engaño: avanzando en la seguridad de confianza cero

Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!

Guardar mi asiento!

Los hallazgos llegan como la Unidad 42 de Palo Alto Networks, en su Informe de amenazas en la nubereveló que “los actores de amenazas se han vuelto expertos en explotar problemas comunes y cotidianos en la nube”, incluidas configuraciones incorrectas, credenciales débiles, falta de autenticación, vulnerabilidades sin parches y paquetes maliciosos de software de código abierto (OSS).

“76% de las organizaciones no aplican MFA [multi-factor authentication] para los usuarios de consolas, mientras que el 58 % de las organizaciones no aplican la MFA para los usuarios raíz/administradores”, dijo la firma de seguridad cibernética.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Snapchat se basa en la inteligencia artificial y la realidad aumentada para recuperarse
Next: Renault critica a Tesla por reducir los precios de los vehículos eléctricos

Related Stories

Mejora tus fotos con la IA de Vidmud gratis
  • Tecnología

Mejora tus fotos con la IA de Vidmud gratis

teknomers 8 de Temmuz de 2026
¿PCs piratas para ejecutar IA? Este botnet reivindica un nuevo
  • Tecnología

¿PCs piratas para ejecutar IA? Este botnet reivindica un nuevo paso en el cibercrimen.

teknomers 8 de Temmuz de 2026
Airbus predice correctamente una explosión del tráfico aéreo y del
  • Tecnología

Airbus predice correctamente una explosión del tráfico aéreo y del número de pasajeros para 2045

teknomers 8 de Temmuz de 2026

You May Have Missed

  • General

«La reconciliación es poderosa y fuerte»: entre Francia y Marruecos, todo ha cambiado desde el Mundial 2022

teknomers 8 de Temmuz de 2026
  • Deporte

Transferencia: la doble Balón de Oro española Alexia Putellas se une a las London City Lionesses

teknomers 8 de Temmuz de 2026
  • Cultura

Émilie Tran Nguyen deja « C à vous » y pierde « En société »

teknomers 8 de Temmuz de 2026
  • General

Selena Gomez: Cita del día por Selena Gomez: ‘No puedes tener miedo de lo que la gente va a decir, porque…’ Lecciones de vida sobre validación, aprobación, autenticidad y comportamiento humano

teknomers 8 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.