Uma cadeia de duas falhas críticas foi divulgada no ApsaraDB RDS para PostgreSQL e AnalyticDB para PostgreSQL da Alibaba Cloud que poderia ser explorada para violar as proteções de isolamento e acessar dados sensíveis pertencentes a outros clientes.
"As vulnerabilidades potencialmente permitiram acesso não autorizado aos bancos de dados PostgreSQL dos clientes da Alibaba Cloud e a capacidade de realizar um ataque à cadeia de suprimentos em ambos os serviços de banco de dados Alibaba, levando a um RCE nos serviços de banco de dados Alibaba", disse a empresa de segurança em nuvem Wiz em um novo relatório compartilhado com o The Hacker News.
As questões, apelidadas de BrokenSesame, foram relatadas à Alibaba Cloud em dezembro de 2022, após as mitigação serem implantadas pela empresa em 12 de abril de 2023.
Não há evidências de que as fraquezas tenham sido exploradas.
Em suma, as vulnerabilidades - uma falha de escalonamento de privilégios no AnalyticDB e um bug de execução remota de código no ApsaraDB RDS - tornaram possível elevar privilégios para root dentro do contêiner, escapar para o nó Kubernetes subjacente e, finalmente, obter acesso não autorizado ao servidor API.
Armado com essa capacidade, um atacante poderia recuperar credenciais associadas ao registro de contêiner do servidor API e empurrar uma imagem maliciosa para obter controle dos bancos de dados de clientes pertencentes a outros inquilinos no nó compartilhado.
"As credenciais usadas para puxar imagens não foram dimensionadas corretamente e permitiram permissões de empurrar, estabelecendo a base para um ataque à cadeia de suprimentos", disseram os pesquisadores da Wiz, Ronen Shustin e Shir Tamari.
Esta não é a primeira vez que vulnerabilidades do PostgreSQL são identificadas em serviços em nuvem.
No ano passado, a Wiz descobriu problemas semelhantes no Azure Database para PostgreSQL Flexible Server (ExtraReplica) e no IBM Cloud Databases para PostgreSQL (Hell's Keychain).
As descobertas surgem enquanto a Unit 42 da Palo Alto Networks, em seu Relatório de Ameaças em Nuvem, revelou que "os atores de ameaças se tornaram hábeis em explorar problemas comuns e cotidianos na nuvem", incluindo configurações incorretas, credenciais fracas, falta de autenticação, vulnerabilidades não corrigidas e pacotes de software de código aberto maliciosos.
"76% das organizações não fazem cumprir a MFA [autenticação de múltiplos fatores] para usuários do console, enquanto 58% das organizações não fazem cumprir a MFA para usuários root/admin", disse a empresa de cibersegurança.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...