Se ha revelado una cadena de dos fallas cr\u00edticas en ApsaraDB RDS para PostgreSQL y AnalyticDB para PostgreSQL de Alibaba Cloud que podr\u00edan explotarse para violar las protecciones de aislamiento de inquilinos y acceder a datos confidenciales que pertenecen a otros clientes.<\/p>\n
“Las vulnerabilidades permitieron potencialmente el acceso no autorizado a las bases de datos PostgreSQL de los clientes de Alibaba Cloud y la capacidad de realizar un ataque a la cadena de suministro en ambos servicios de bases de datos de Alibaba, lo que llev\u00f3 a un RCE en los servicios de bases de datos de Alibaba”, dijo la empresa de seguridad en la nube Wiz. dicho<\/a> en un nuevo informe compartido con The Hacker News.<\/p>\n El asuntos<\/a>apodado S\u00e9samo roto<\/strong>se informaron a Alibaba Cloud en diciembre de 2022, luego de que la empresa implementara mitigaciones el 12 de abril de 2023. No hay evidencia que sugiera que las debilidades se explotaron en la naturaleza.<\/p>\n En pocas palabras, las vulnerabilidades (una falla de escalada de privilegios en AnalyticDB y una falla de ejecuci\u00f3n remota de c\u00f3digo en ApsaraDB RDS) hicieron posible elevar los privilegios para rootear dentro del contenedor, escapar al nodo subyacente de Kubernetes y, en \u00faltima instancia, obtener acceso no autorizado a la API. servidor.<\/p>\n Armado con esta capacidad, un atacante podr\u00eda recuperar las credenciales asociadas con el registro del contenedor desde el servidor API y enviar una imagen maliciosa para obtener el control de las bases de datos de los clientes que pertenecen a otros inquilinos en el nodo compartido.<\/p>\n “Las credenciales utilizadas para extraer im\u00e1genes no ten\u00edan el alcance correcto y permit\u00edan los permisos de inserci\u00f3n, lo que sent\u00f3 las bases para un ataque a la cadena de suministro”, dijeron los investigadores de Wiz, Ronen Shustin y Shir Tamari.<\/p>\n Esta no es la primera vez que se identifican vulnerabilidades de PostgreSQL en servicios en la nube. El a\u00f1o pasado, Wiz descubri\u00f3 problemas similares en Azure Database for PostgreSQL Flexible Server (ExtraReplica) e IBM Cloud Databases for PostgreSQL (Hell’s Keychain).<\/p>\n Defi\u00e9ndase con el enga\u00f1o: avanzando en la seguridad de confianza cero<\/p>\n Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n![\"Bases](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEioIs2G3vuycLMFwnpRBp2c607fH7WFIOkrHIZVzX_mjqxxNRoPOk8vrbq1th67BKwwUIlC-SmUQAKCnXwLmWLbnUAkJgpqr5WZrJ88UqfozxXM9eHnR5zJZDifcDMTAl5bE_cSMUYc4XGe7E6fMOhJoF68w2NDy0HeZHrI39bsd0kQXPoWGcgzGv0y\/s728-e3650\/id.png\" "\\"Bases")
<\/div>\n