现已修复！阿里云SQL数据库曝两个关键漏洞

现近日，The Hacker News 网站披露，阿里云 ApsaraDB RDS for PostgreSQL 和 AnalyticDB for PostgreQL 数据库爆出两个关键漏洞。潜在攻击者能够利用这两个漏洞破坏租户隔离保护，访问其它客户的敏感数据。

创新互联服务项目包括嘉鱼网站建设、嘉鱼网站制作、嘉鱼网页制作以及嘉鱼网络营销策划等。多年来，我们专注于互联网行业，利用自身积累的技术优势、行业经验、深度合作伙伴关系等，向广大中小型企业、政府机构等提供互联网行业的解决方案，嘉鱼网站推广取得了明显的社会效益与经济效益。目前，我们服务的客户以成都为中心已经辐射到嘉鱼省份的部分城市，未来相信会继续扩大服务区域并继续获得客户的支持与信任！

云安全公司 Wiz 在与 The Hacker News 分享的一份报告中表示，这两个漏洞可能允许未经授权的攻击者访问阿里云客户的 PostgreSQL 数据库，并对两个数据库服务进行供应链攻击，从而导致对阿里巴巴数据库服务的 RCE。

值得一提的是，早在 2022 年 12 月阿里云就收到了漏洞报告，并于 2023 年 4 月 12 日部署了缓解措施，此外没有证据表明这些漏洞已经被野外被利用了。

据悉，这不是第一次在云服务中发现 PostgreSQL 漏洞，其它云服务厂商与曾出现过。去年，Wiz 在其他多家头部云厂商中也发现了类似问题。

攻击者利用漏洞可访问其它用户数据

从 Wiz 研究人员透漏出的信息来看，一旦潜在攻击者成功利用 AnalyticDB 的权限升级漏洞和 ApsaraDB RDS 的远程代码执行漏洞后，便可在容器中提升权限至 root，“逃到”底层的 Kubernetes 节点，并最终获得对 API 服务器的未授权访问。

不仅如此，获得上述权限后，攻击者可以从 API 服务器中检索与容器注册表相关的凭据，并推送恶意映像，以控制属于共享节点上其它租户的客户数据库。

据悉，这不是第一次在云服务中发现 PostgreSQL 漏洞，其它云服务厂商与曾出现过。去年，Wiz 在 Azure Database for PostgreSQL Flexible Server（ExtraReplica）和 IBM Cloud Databases for PostgreQL（Hell’s Keychain）中发现了类似问题。

近几年，网络犯罪分子频频盯上云服务，从 Palo Alto Networks Unit 42 发布的《云威胁报告》的内容来看，威胁攻击者目前非常善于利用错误配置、弱凭证、缺乏认证、未修补的漏洞和恶意的开放源码软件（OSS）包等云服务常见问题。

然而在如此危险的网络环境下，76% 的组织没有对控制台用户执行 MFA 多因素认证，58% 的组织没有对根/管理员用户执行 MFA。

分享题目：现已修复！阿里云SQL数据库曝两个关键漏洞
新闻来源：http://www.hantingmc.com/qtweb/news40/57940.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联